- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath D2000-G2[E][AK66XX][CN][Cloud-G]系列数据库审计系统
Copyright © 2022-2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
H3C SecPath D2000-G2[E][AK66XX][CN][Cloud-G]系列数据库审计系统,是自主研发的一款基于深度数据库协议解析技术,采用自动学习和智能分析模式,实现对数据库访问行为的全程监控、高危操作的实时告警和安全事件的审计追溯的智能化数据库安全审计系统。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 添加的数据库与审计系统网络互通。
适用产品:H3C SecPath D2000-G2[E][AK66XX][CN][Cloud-G]系列数据库审计系统
适用版本:H3C i-Ware Software, Version 3.1, ESS 6501P06
图5-1 组网图
按照组网图组网。
(1) 配置交换机的端口镜像功能;
(2) 登录数据库审计系统;
(3) 开启旁路审计;
(4) 添加资产组及资产,填写数据库配置;
(5) 操作数据库使其产生流量;
(6) 查看审计系统审计日志。
按照交换机的功能配置端口镜像功能,使数据库客户端和数据库服务器相互通信的流量能发送到数据库审计设备上。
#H3C交换机配置命令
#进入系统视图
system-view
#创建镜像组
mirroring-group 1 local
#添加镜像端口(镜像ge1/0/2口的进、出双向流量)
mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both
#添加监听端口(ge1/0/2口的流量镜像到ge1/0/3)
mirroring-group 1 monitor-port GigabitEthernet 1/0/3
浏览器中输入URL:https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin,输入密码(默认密码admin),点击“登录”按钮。
开启旁路审计之前,确保已在路由器或交换机上配置端口镜像。审计口对应的网口需要连接到路由器或交换机的镜像端口。
图5-2 编辑镜像口
图5-3 设置镜像口
图5-4 保存配置
图5-5 设置镜像口成功
如图所示,开启旁路审计具体操作步骤如下:
(1) 在左侧导航栏中,选择系统>基础设置>网络设置;
(2) 在网卡设置列表中,选择镜像网口,点击“编辑”按钮;
(3) 进入“编辑网口”页面,选择网口类型为“镜像口”,IP地址类型设置为“不配置地址”,点击“确定”按钮;
(4) 界面提示“保存成功”,并在对应网卡处显示用途为“镜像口”,即旁路模式部署成功。
旁路部署模式下,添加资产的方式有自动发现资产和手动添加资产两种。
该文档中的截图均使用E6501P06版本截图。
自动发现资产具体操作步骤如下:
(1) 在左侧导航栏中,选择资产>资产列表;
(2) 在资产列表界面中,单击“自动发现资产”按钮,弹出“自动发现数据库”对话框,填写信息,如图5-6所示;
图5-6 自动发现资产配置
(3) 单击“确定”按钮,完成配置,自动发现资产后如图5-7所示;
图5-7 自动发现资产
(4) 点击页面左侧业务分组名称后的“+”按钮,弹出“添加业务分组”对话框,填写信息,如图5-8所示;
(5) 点击业务分组
按钮,点击绑定资产,进入绑定资产页面,选择资产进行绑定,如图5-9所示;
(6) 点击“确定”按钮,完成资产与业务分组绑定,此时资产列表如图5-10所示。
手动添加资产具体操作步骤如下:
(1) 在左侧导航栏中,选择资产>资产列表;
(2) 进入资产列表页面,点击业务分组名称右侧的“+”按钮,弹出“添加业务分组”对话框,填写信息,如图5-11所示;
图5-11 添加业务分组
(3) 点击确定按钮,完成业务分组添加;
(4) 在资产列表界面中,点击“添加”按钮,弹出“添加资产”对话框,填写信息并选择业务分组,如图5-12所示;
图5-12 手动添加资产配置
(5) 点击“保存”按钮,完成资产信息配置;
(6) 对列表新增的数据库资产,开启资产的“保护”按钮;
(7) 手动添加资产后如图5-13所示,表示手动添加资产配置成功。
图5-13 手动添加资产配置成功
添加资产页面未标红星项为非必填项;
可通过配置账号密码等详细信息,点击测试连通按钮,验证数据库是否可以正常访问。
数据库:以手动添加的数据库资产为例
工具:如DBeaver
操作语句:SELECT * FROM 'test’
图5-14 执行查询语句
使用系统管理员(admin)登录审计系统,进入[审计->检索]页面,查看检索结果列表,如图5-15所示。
图5-15 业务日志
数据库审计系统与插件所在的主机需网络可达。
图5-16 组网图
按照组网图组网。
(1) 登录数据库审计系统;
(2) 添加资产组及资产,填写数据库配置;
(3) 安装插件;
(4) 操作数据库使其产生流量;
(5) 查看审计系统审计日志。
浏览器中输入URL:https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin,输入密码(默认密码admin),点击“登录”按钮。
手动添加资产具体操作步骤如下:
(1) 在左侧导航栏中,选择资产>资产列表;
(2) 进入资产列表页面,点击业务分组名称右侧的“+”按钮,弹出“添加业务分组”对话框,填写信息,如图5-17所示;
图5-17 添加业务分组
(3) 点击确定按钮,完成业务分组添加;
(4) 在资产列表界面中,点击“添加”按钮,弹出“添加资产”对话框,填写信息并选择业务分组,如图5-18所示;
图5-18 手动添加资产配置
(5) 点击“保存”按钮,完成资产信息配置;
(6) 对列表新增的数据库资产,开启资产的“保护”按钮;
(7) 手动添加资产后如图5-19所示,表示手动添加资产配置成功。
图5-19 手动添加资产配置成功
添加资产页面未标红星项为非必填项;
可通过配置账号密码等详细信息,点击测试连通按钮,验证数据库是否可以正常访问。
系统支持两种插件安装方式。
方式一:手动推送插件,手动推送插件仅支持Linux操作系统;
方式二:本地安装插件适用于Linux和Windows系统。
具体操作步骤如下:
(1) 在左侧导航栏,选择系统 -> 插件设置->插件安装,进入插件安装页面,如图5-17;
图5-20 插件安装页面
(2) 单击手动推送按钮,在手动推送对话框中,配置数据库服务器或应用服务器的访问地址和认证信息,单击“确定”按钮,如图5-21所示;
图5-21 手动推送插件配置
图5-22 推送状态列表
插件推送参数说明:
服务器地址:数据库服务器或访问数据库系统的应用系统、运维终端的IP地址;
端口:所配置服务器的ssh开放端口,一般默认是22;
验证方式:口令,使用用户名密码登录服务器后台安装插件;
证书,使用ssl证书登录服务器后台安装插件;
系统账户:ssh连接服务器后台使用的账户,请确保该账户拥有root账户权限;
系统密码:ssh连接服务器后台使用的密码;
证书密码:生成证书时使用的密码;
系统类型:下拉选择Linux-X64;
通讯地址:通讯地址为插件进行心跳发送、插件配置获取的数据库审计系统端IP和端口,可通过选择网卡或手工输入方式设置;
默认安装:勾选“默认安装”后,把插件安装包推送到插件服务器后会自动进行安装;如果不勾选默认安装,只推送插件安装包不进行安装;
测试连通性功能说明:点击按钮后,系统将对输入的服务器地址和端口尝试通信,如能连通,提示“连通成功”。如不能连通,系统会报错“该地址无法连通”,请检查服务器地址和端口是否填写错误、服务器ssh服务是否开启,防火墙是否开放该端口。
(3) 单击插件管理页面,在目标插件右侧单击插件配置,弹出插件配置框,绑定相应的数据资产。
图5-23 插件配置
图5-24 插件管理页面
以Windows操作系统为例,具体操作步骤如下:
(1) 在左侧导航栏,选择系统 -> 插件设置->插件安装,进入插件安装页面,如图5-25所示;
图5-25 插件安装页面
(2) 单击Windows栏的下载按钮,将下载的包上传到数据库服务器或访问数据库系统的应用系统、运维终端上,并解压;
图5-26 插件安装包
图5-27 安装文件
(3) 打开config.json文件,配置mgtIp并保存,具体内容可参考readme.txt文件,填写插件配置信息,如图5-28所示;
图5-28 本地安装配置信息
(4) 配置文件保存后,右键点击install.bat,选择以管理员身份运行,进行安装;
图5-29 本地安装配置信息
(5) 安装npcap;
图5-30 Npcap安装
(6) 安装完成后,任务管理器中详细信息查看服务已启动(进程名称为new_pcap_agent.exe、sniffer.service.exe),插件安装完成。
图5-31 查看插件运行进程
数据库:以手动添加的数据库资产为例
工具:DBeaver
操作语句:SELECT * FROM 'rule1’
图5-32 执行查询语句
系统管理员(admin)登录审计系统,进入[审计->检索]页面,查看检索结果列表,如图5-33所示。
图5-33 业务日志
图5-34 组网图
浏览器中输入URL https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮,如图5-35所示。
图5-35 首页
具体操作步骤如下:
(1) 进入[资产->资产列表]页面,点击业务分组名称右侧
按钮,弹出添加业务分组对话框,配置资产类型和业务分组名称,点击确定,如图5-36所示;
图5-36 添加业务分组
已添加过对应资产类型的业务分组后,后续添加新资产可直接关联业务分组;
(2) 单击资产列表中“添加”按钮,在弹出的“添加资产”对话框中填写配置信息,如5-37图所示;
图5-37 添加资产页面
(3) 单击“保存”按钮,完成资产信息配置;
(4) 对列表新增的数据库资产,开启资产的“保护”按钮。
进入策略>黑名单页面,点击“添加”按钮,进入“添加黑名单”页面,配置黑名单参数规则,并使其启用状态为“开启”,点击“保存”,如图5-38所示。
图5-38 配置黑名单页面
配置黑名单相关配置说明:
规则名称:自定义规则名称;
SQL模板:访问数据库的sql语句模板;
规则描述:策略的规则描述;
应用到资产:在下拉框中选择资产名称;
数据库账号:数据库登录账号,匹配规则为至少一个或排除所有;
客户端IP:访问数据库的客户端IP,匹配规则为至少一个或排除所有;
客户端工具:访问数据库的客户端工具名称,匹配规则为至少一个或排除所有;
操作命令:访问数据库的操作命令,例SELECT、INSERT等,不区分大小写,匹配规则为至少一个或排除所有;
操作对象类型:访问数据库的操作对象类型,例如TABLE,不区分大小写,匹配规则为至少一个或排除所有;
操作对象名:访问数据库的操作对象名,匹配规则为至少一个或排除所有或包含所有;
SQL关键字:访问数据库的请求语句中存在的关键字;
操作语句:访问数据库的操作语句,单击添加操作语句,可以先添加或勾选已有的操作语句;
时间表:需要先添加时间表对象组,然后再引用;
启用状态:开启和关闭。开启状态:添加后直接生效。关闭状态:配置完成后不生效,需要手动进行开启。
图5-39 策略-黑名单页面
在配置完黑名单策略后,系统不会自动根据这些策略信息对数据资产进行审计。还需要在策略设置页面打开对应资产的开关。
进入“策略>策略设置”页面,在策略功能优先级列表中使黑名单策略按钮为开启状态,然后再点击“保存”按钮,如图5-39所示。
图5-40 应用黑名单策略
部分策略已默认启用,若已启用,直接点击保存即可;
(1)使用客户端工具(如dbeaver)连接相应数据库,并进行访问,如图5-41所示;
图5-41 对数据库进行访问
(2)查看数据库审计系统的审计日志,产生告警日志,如图5-42所示;
图5-42 审计日志
(3)查看日志详情,详情中匹配黑名单策略,风险等级为非法,如图5-43所示。
图5-43 日志详情
命中黑名单策略,对应风险等级为非法;
图5-44 组网图
浏览器中输入URL https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮,如图所示。
图5-45 首页
具体操作步骤如下:
(1) 进入[资产->资产列表]页面,点击业务分组名称右侧
按钮,弹出添加业务分组对话框,配置资产类型和业务分组名称,点击确定,如图所示;
图5-46 添加业务分组
已添加过对应资产类型的业务分组后,后续添加新资产可直接关联业务分组;
(2) 单击资产列表中“添加”按钮,在弹出的“添加资产”对话框中填写配置信息,如图所示;
图5-47 添加资产页面
(3) 单击“保存”按钮,完成资产信息配置;
(4) 对列表新增的数据库资产,开启资产的“保护”按钮。
进入策略>审计过滤>数据过滤页面,点击“添加”按钮,进入“新增数据过滤”页面,配置数据过滤参数规则,并使其启用状态为“开启”,点击“保存”,如图所示。
图5-48 配置数据过滤参数页面
图5-49 数据过滤规则页面
添加数据过滤相关配置说明:
规则名称:数据过滤规则名称;
SQL模板:访问数据库的sql语句模板;
规则描述:策略的规则描述;
应用到资产:在下拉框中选择资产名称;
数据库账号:数据库登录账号;
客户端IP:访问数据库的客户端IP;
客户端工具:访问数据库的客户端工具名称;
操作命令:访问数据库的操作命令,例SELECT、INSERT等,不区分大小写;
操作对象类型:访问数据库的操作对象类型,例如TABLE,不区分大小写;
操作对象名:访问数据库的操作对象名;
操作语句:访问数据库的操作语句,单击添加操作语句,可以先添加或勾选已有的操作语句;
时间表:需要先添加时间表对象组,然后再引用;
启用状态:开启和关闭策略。开启状态:添加后直接生效。关闭状态:配置完成后不生效,需要手动进行开启。
在配置完数据过滤后,系统不会自动根据这些策略信息对数据资产进行审计。还需要在策略设置页面打开对应资产的开关。
进入“策略>策略设置”页面,在策略功能列表中使审计过滤策略按钮为开启状态,然后再点击“保存”按钮,如图所示。
图5-50 应用审计过滤策略
为避免与其他策略同时开启时,对审计日志风险等级的理解产生歧义,此处已手动将其他策略关闭;
(1) 使用客户端工具连接相应数据库,并进行访问,如图所示;
图5-51 对数据库进行访问
(2) 查看数据库审计系统的审计日志,发现SQL语句中操作命令为SELECT均被过滤,如图所示。
图5-52 过滤
数据库审计系统为用户提供智能基线功能。资产开启学习后,系统会在这一段时间对操作进行学习,最后生成基线数据模型,该基线模型可作为策略对数据库资产进行学习和分析。
图5-53 组网图
浏览器中输入URL https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮,如图所示。
图5-54 首页
具体操作步骤如下:
(1) 进入[资产->资产列表]页面,点击业务分组名称右侧
按钮,弹出添加业务分组对话框,配置资产类型和业务分组名称,点击确定,如图所示;
图5-55 添加业务分组
已添加过对应资产类型的业务分组后,后续添加新资产可直接关联业务分组;
(2) 单击资产列表中“添加”按钮,在弹出的“添加资产”对话框中填写配置信息,如图所示;
图5-56 添加资产页面
(3) 单击“保存”按钮,完成资产信息配置;
(4) 对列表新增的数据库资产,开启资产的“保护”按钮。
进入策略>智能告警>智能告警设置页面,点击“添加”按钮,选择需要学习的资产,并设置学习时间,点击“确定”按钮,应用成功,如图所示。
图5-57 添加智能告警
注:学习结束是否开启保护
开启状态:学习结束后告警生效
关闭状态:学习结束后不生效,需要手动进行开启
图5-58 智能告警配置成功
学习中的状态不能开启防护,若已启用学习结束是否开启保护开关,当学习结束后,会自动开启防护状态;
在旁路模式下,使用客户端工具对开启智能告警的数据库进行访问,执行sql命令(例如:select * from user limit 10)。
图5-59 执行SQL语句
进入策略>智能告警>智能告警设置页面。选择学习的资产,可以点击“结束学习”按钮,手动结束学习状态,在弹出的对话框点击“确定”按钮,结束学习。
图5-60 手动结束学习状态
此处为达到验证效果,采用手动结束学习方式;
自学习功能非实时记录,开启学习后,操作数据库,需要等待一段时间,点击查看结果按钮,跳转到用户模型列表可查看数据时,即可手动结束学习。
如图6-所示,进入“策略>智能告警>智能告警设置”页面。点击“查看结果”按钮,跳转至用户行为模型界面,点击“查看用户行为列表”按钮,查看用户行为列表,如图所示,这里显示的是用户在智能告警开启期间,学习到的行为。
图5-61 用户行为列表界面
智能告警学习完成后,系统不会自动根据这些策略信息对数据资产进行审计。还需要在策略设置页面打开对应资产的开关。进入“策略>策略设置”页面,在策略功能优先级列表中使智能告警策略按钮为开启状态,然后再点击“保存”按钮,如图所示。
图5-62 应用智能告警策略
为避免与其他策略同时开启时,对审计日志风险等级的理解产生歧义,此处已手动将其他策略关闭;
(1) 数据库客户端访问资产,执行学习期内学习的内容不告警(例如:SELECT * FROM rule1),如图所示;
图5-63 执行已学习语句,不触发基线告警
(2) 数据库客户端访问资产,执行学习期内没有学习到的内容,审计日志有告警日志(例如:select * from `myemployees`.`departments` limit 0, 1000),如图所示。
图5-64 执行未学习语句,触发基线告警
命中智能告警策略,对应风险等级为高风险;
系统已经内置综合状况报表、合规性报表(PCI报表、SOX报表、等保报表)和其他多种维度的分析报表模板,支持一键生成相关报表,帮助管理人员和审计人员及时发现各种异常和违规行为,并对这些行为进行快速分析、定位和响应,为整体信息安全管理提供决策依据。
图5-65 组网图
浏览器中输入URL https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮,如图所示。
图5-66 首页
具体操作步骤如下:
(1) 进入[资产->资产列表]页面,点击业务分组名称右侧
按钮,弹出添加业务分组对话框,配置资产类型和业务分组名称,点击确定,如图所示;
图5-67 添加业务分组
已添加过对应资产类型的业务分组后,后续添加新资产可直接关联业务分组;
(2) 单击资产列表中“添加”按钮,在弹出的“添加资产”对话框中填写配置信息,如图所示;
图5-68 添加资产页面
(3) 单击“保存”按钮,完成资产信息配置;
(4) 对列表新增的数据库资产,开启资产的“保护”按钮。
提前配置好策略,并使用客户端工具对数据库进行访问,执行多种SQL语句,触发策略,产生流量,如图所示。
图5-69 系统已产生审计日志
1. 进入“报表”-“预定义报表”页面。在“当前已选择资产”下拉框中选择具体资产,在“选择时间段”处设置报表的时间范围为“本月”,在“选择报表类型”处设置报表输出格式“PDF”。如图所示;
图5-70 报表信息配置页面
2. 在“报表类型”下,单击指定报表类型,例如(单击“综合”);
3. 在具体报表中,单击“预览”按钮,可预览报表内容信息。如图所示;
图5-71 预定义报表页面
4. 在具体报表中,单击“生成”按钮,可生成报表,进入“报表”-“报表生成”页面查看报表信息,如图所示;
图5-72 预定义报表成功生成
5. 在“报表”-“报表生成”页面,单击“下载”按钮,可将报表下载至本地查看。
1. 进入“报表”-“预定义报表”页面。在“当前已选择资产”下拉框中选择具体资产,在“选择时间段”处设置报表的时间范围为“本周”,在“选择报表类型”处设置报表输出格式“PDF”;
2. 在“报表类型”下,单击指定报表类型,例如(单击“合规性”);
3. 在具体报表中,选择“PCI报表”,单击“添加到定时报表”按钮,在弹出的“添加定时报表”对话框中配置报表发送信息。如图所示;
图5-73 配置发送定时报表任务相关信息
添加定时报表相关配置说明:
报表格式:定时报表发送的格式,支持PDF、CSV、HTML、WORLD格式;
审计时间段:定时报表发送的审计时间段,支持自定义、每天、每周、每月和每年;
发送日:定时报表发送日期;
发送时间:定时报表发送时间;
SMTP服务器:发送服务器地址,在邮箱设置中可以查看;
SMTP端口:发送服务器端口,在邮箱设置中可以查看;
TLS/SSL:发送服务器支持的协议,在邮箱设置中可以查看,注意SMTP端口和TLS/SSL保持一致;
邮箱账号:发件人的邮箱账号;
密码:发件人的邮箱密码;
发件人:发件人的邮箱账号;
收件人:收件人的邮箱账号。
4. 进入“报表”-“定时报表”页面,查看定时报表任务,如图所示;
图5-74 定时报表任务
5. 进入“报表”-“报表生成”页面,等待至对应发送时间,可以查看报表已自动生成,如图所示;
图5-75 自动生成报表
6. 查看邮箱,已成功发送报表。
图5-76 成功发送至邮箱
本系统支持通过FTP、EMAIL、SYSLOG、SNMP和SMS五种方式发送审计告警通知。配置告警发送方式后,用户可以将告警日志对接到相应的日志服务器。
浏览器中输入URL https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮,如图所示。
图5-77 首页
具体操作步骤如下:
(1) 进入[资产->资产列表]页面,点击业务分组名称右侧
按钮,弹出添加业务分组对话框,配置资产类型和业务分组名称,点击确定,如图所示;
图5-78 添加业务分组
已添加过对应资产类型的业务分组后,后续添加新资产可直接关联业务分组;
(2) 单击资产列表中“添加”按钮,在弹出的“添加资产”对话框中填写配置信息,如图所示;
图5-79 添加资产页面
(3) 单击“保存”按钮,完成资产信息配置;
(4) 对列表新增的数据库资产,开启资产的“保护”按钮。
进入“审计-审计设置-告警发送”界面,选择通知方式为“SYSLOG”,点击“
”按钮,打开“配置SYSLOG通知”对话框,配置信息。如图所示。
图5-80 Syslog发送方式信息配置
配置SYSLOG发送方式相关配置说明:
IP:syslog日志主机的IP地址;
端口:syslog日志主机的端口,一般默认是514;
编码:syslog日志主机支持的编码格式;
风险等级:选择发送告警日志的等级,支持多选;
告警内容:选择发送告警日志审阅与否,支持多选;
单次发送条数:单次发送告警日志的条数;
时间间隔(分钟):发送告警日志的时间间隔;
启用状态:开启状态:发送告警日志。关闭状态:停止发送告警日志。
提前配置好策略,并使用客户端工具对数据库进行访问,执行多种SQL语句,触发策略,产生流量。如图所示。
图5-81 产生告警日志
进入“审计-审计设置-告警发送查询”界面,如图所示。
图5-82 告警发送查询
图5-83 接收到的告警日志信息展示
图5-84 旁路部署组网图
浏览器中输入URL https://服务器IP地址:8441(如https://192.168.0.1:8441 ),进入数据库审计系统登录页面,输入系统管理员用户名admin、输入密码(默认密码admin),点击“登录”按钮,如图所示。
图5-85 首页
具体操作步骤如下:
(1) 进入[资产->资产列表]页面,点击业务分组名称右侧
按钮,弹出添加业务分组对话框,配置资产类型和业务分组名称,点击确定,如图所示;
图5-86 添加业务分组
已添加过对应资产类型的业务分组后,后续添加新资产可直接关联业务分组;
(2) 单击资产列表中“添加”按钮,在弹出的“添加资产”对话框中填写配置信息,如图所示;
图5-87 添加资产页面
(3) 单击“保存”按钮,完成资产信息配置;
(4) 对列表新增的数据库资产,开启资产的“保护”按钮。
如图所示,点击“策略>防统方”,进入防统方规则库页面,点击“添加”按钮。进入”添加防统方规则库”页面,配置防统方和统方规则,并使其启用状态为“开启”,点击“确定”。
图5-88 配置防统方规则页面
参数介绍:
规则库名称:防统方规则库的名称;
公司名称:所属公司名称;
资产:数据库IP名称,单击空白框,出现资产列表,勾选后配置成功;
状态:配置策略开启和关闭;
规则名称:规则库下对应的规则名,规则名不可重复;
规则描述:对规则的描述;
SQL模板:访问数据库的SQL操作语句模板,添加时不区分大小写,模板不可重复;
统方类型:包括三种:统方、疑似统方、合规统方;
风险类型:与统方类型一一对应,统方类型“统方”对应风险类型“高风险”;统方类型“疑似统方”对应风险类型“中风险”;统方类型“合规统方”对应风险类型“低风险”;
操作:点击<删除>可删除该条规则。
如图所示,点击“策略>防统方”,点击关键表页签,进入关键表页面,点击“添加”按钮。进入“添加关键表”页面,填写关键表名和业务名称,选择上一步骤中所添加规则库,表名翻译选择“是”并使其启用状态为“开启”,点击“确定”。
图5-89 添加关键表页面
在配置完审计策略后,系统不会自动根据这些策略信息对数据资产进行审计。还需要在策略设置页面打开对应资产的开关。如图所示,进入“策略>策略设置”页面选择已添加的数据库资产。在风险告警中使防统方策略按钮为开启状态,然后再点击“保存”按钮。
图5-90 应用防统方策略
如图所示,使用客户端工具连接相应数据库,并进行访问,触发防统方策略。
图5-91 对数据库进行访问
点击审计>统方事件,进入审计-统方事件页面,查看统方事件日志,如图所示。
图5-92 统方事件日志
选择一条统方事件审计日志,查看其日志详情中统方策略匹配及翻译效果,如图所示。
图5-93 日志详情
支持
