05-规则
本章节下载: 05-规则 (983.11 KB)
目 录
审计选项是针对规则配置而言的,默认是“全部审计”。
(1) 打开[规则/规则/审计选项],打开审计选项页面配置。如图1-1所示。
详细选项如表1-1。
选项 |
用途说明 |
全部审计 |
默认是全部审计,指系统无条件记录所有访问记录 |
满足条件审计 |
只有满足配置审计规则的访问记录才能被系统审计到,不满足规则条件的则不会被审计 |
(2) 选择审计选项,单击<保存>即可。
规则配置(DB)的保护对象为数据库,包括规则配置、对象组管理、规则优先级和快速加载四个模块,满足规则配置的审计记录,会触发告警。
将相关的数据库对象(如表、用户、包、函数、存储过程、视图、字段等)划分到一个组内进行管理。
(1) 进入[规则/规则/规则配置(DB)],单击“对象组管理”标签打开对象组管理界面。如图1-2所示。
(2) 单击<新增>,打开新增页面。如图1-3所示。
(3) 输入对象组名,单击<保存并添加对象>。如图1-4所示。
(4) 选择添加对象类型,并输入对象名,单击<添加对象>。如图1-5所示。
(5) 单击<关闭>,返回对象组列表。如图1-6所示。
(1) 进入[规则/规则/规则配置(DB)],单击“规则配置”标签打开规则配置界面。如图1-7所示。
(2) 单击<新增>,出现新增下拉列表框页面。如图1-8所示。
(3) 在下拉列表中选择<新增规则组>进入规则组配置页面。如图1-9所示。
(4) 输入规则组名称,单击<保存>即可添加规则组。如图1-10所示。
(5) 选择添加的规则组,单击<新增规则>打开规则配置界面。如图1-11所示。
图1-12 新增规则图2
详细选项如表1-2。
表1-2 DB规则信息
选项 |
字段名称 |
用途说明 |
基本信息 |
规则名称 |
必填项,填入规则名称 |
规则组 |
必选项,可选择自定义的规则组,也可以选择系统默认规则组 |
|
规则等级 |
必选项,系统默认等级为高。等级包括高、中、低、关注行为、一般行为和不审计。 在[规则/规则/审计选项]页面,选择“满足条件审计”时,此处的“一般行为”等级按钮才可选 等级为“不审计”时,满足该规则的记录,不存放在系统中,在[审计/日常行为/综合查询]中查询不到记录信息 |
|
规则类型 |
必选项,默认为普通规则 |
|
客户端 |
客户端IP |
可填项,指访问业务类型的客户端IP地址。 有两种方式: · 直接填写。可填写多个IP,多个IP用以“,”分割; · 从“来访客户网络”中选择。“来访客户网络”的内容在[配置/常规/来访客户网络]中配置,也可以单击<例外IP>,则如来源IP在“例外IP”中,虽然也在“来访客户网络”中,但不触发告警 |
客户端工具 |
可选项,定义规则作用的客户端工具。也可点击“配置-客户端工具”链接管理客户端工具 |
|
客户端端口 |
可选项,可配置多个值或区间,多个值间以逗号“,”分隔,例:10-15,20,25,30-40。 |
|
服务器 |
服务器IP |
可填项,可填多值,多个值间以逗号“,”分隔 |
服务端端口 |
可配置多个值或区间,多个值间以逗号“,”分隔,例:10-15,20,25,30-40。 |
|
数据库账号 |
可填项,指数据库登录用户,可填多值,多个值之间以“,”分割。如:system,sys |
|
行为 |
对象组 |
可选项,指规则作用的对象组。在“对象组管理”标签页面管理对象组 |
操作类型 |
可选项,指关注的操作类型。如select,update,delete等 |
|
SQL模板 |
可填项,SQL模板的ID,可填多值,多个值间以逗号“,”分隔。 |
|
SQL关键字 |
可填项, SQL关键字:可通过<增加>按钮添加多个关键字。支持以正则表达式方式匹配报文。单击<正则验证>输入报文内容,单击<提交>,验证输入内容与执行结果关键字中的正则表达式是否匹配 条件运算逻辑表达式:如SQL关键字填写后,此项为必填项。 条件间的关系,支持“与、或、非、括号”运算(&:与,|:或,~:非),条件使用序号表示,即“1”表示条件1,例: 1&2,则代表有2个SQL关键字条件,且两个关键字都要满足才能告警。 |
|
结果 |
执行时长 |
可填项,SQL执行所用的时间,允许配置从0到2000000000之间的任意范围。SQL执行时长属于此范围,则触发规则。 |
影响行数 |
可填项,允许配置从0到2147483647之间的任意范围。SQL操作返回的记录数或受影响的行数属于此范围,则触发规则。 |
|
返回结果集 |
可填项, SQL关键字:可通过<增加>按钮添加多个关键字。支持以正则表达式方式匹配结果集。单击<正则验证>输入结果集内容,单击<提交>,验证输入内容与返回结果关键字的正则表达式是否匹配 条件运算逻辑表达式:如SQL关键字填写后,此项为必填项。 条件间的关系,支持“与、或、非、括号”运算(&:与,|:或,~:非),条件使用序号表示,即“1”表示条件1,例: 1&2,则代表有2个结果集条件,且结果集中需要同时满足这两个条件才能告警。 |
|
其它 |
时间 |
可选项,选择任意时间,每天,每星期,每月 |
每天告警最大个数 |
默认1000,最大只能输99999,如不想限制每天告警数,可输入0 |
|
业务主机群 |
添加时可先不选,但如果想要此规则生效,必须要选择规则对应生效的业务主机群 |
|
白名单 |
可选项,如果审计的记录内容符合白名单则不告警 |
(6) 输入相关的信息,单击<保存>即可添加规则。
调整每个业务主机群下规则优先级,使审计记录按照规则优先级来触发告警。
(1) 进入[规则/规则/规则配置(DB)],单击“规则优先级”标签打开规则优先级界面。如图1-13所示。
(2) 选择某一业务主机群,右侧出现该业务主机群对应的规则。如图1-14所示。
(3) 操作“上移”“下移”“置顶”“置底”图标,调整规则优先级。
(4) 单击<保存调整>,即可配置业务主机群对应规则优先级。
对某个业务主机群快速加载或卸载规则。
(1) 进入[规则/规则/规则配置(DB)],单击“快速加载”标签打开快速加载界面。如图1-15所示。
(2) 选择某一个业务主机群,出现该业务主机群已加载和未加载的所有规则。如图1-16所示。
(3) 对已加载规则,可单选一个或多个规则,单击“卸载”图标即可卸载选中的规则。
(4) 对未加载规则,可单选一个或多个规则,单击“加载”图标即可加载选中的规则。
为业务主机群mysql配置一条规则,名称为“login规则”,登录时长超过10S的触发告警,此规则挂载在“自定义规则组”中。
(1) 进入[规则/规则/规则配置(DB)],单击“规则配置”标签打开规则配置界面。如图1-17所示。
图1-17 DB规则配置
(2) 单击<新增>,在出现内容中选择“新增规则组”。如图1-18所示。
图1-18 新增DB规则组
(3) 在打开的新增规则组页面中,规则组名称为“自定义规则”。如图1-19所示。
图1-19 配置DB规则组
(4) 单击<保存>按钮,自定义规则组完成,选择“自定义规则”。如图1-20所示。
图1-20 选择DB规则组
(5) 单击[新增规则],打开新增规则页面。如图1-11所示。新增规则图
(6) 在“规则名称”中输入“login规则”,在“行为”标签中的“操作类型”中选择“login”,在“结果”标签中的“执行时长”中输入“10000”,选择业务主机群为“mssql业务主机群[D2020]”。如图1-21所示。
(7) 单击<保存>,此规则配置完成,自动生效。
在某一固定时间范围内,根据统计条件(同一客户端IP,同一数据库账号,同一会话,同一客户端工具)触发设置的规则,并达到设置的次数时,就会触发统计告警,目前统计告警不支持统计告警外送功能。
(1) 打开[规则/规则配置(DB)]页面,点击<新增>按钮,打开规则配置页面,选择“统计规则”,如下图:
图1-22 统计告警
相关统计配置信息如下表:
表1-1 统计配置信息
选项 |
用途说明 |
统计时长 |
某一时间范围内统计告警,允许范围10秒到30分钟。 |
累计次数 |
只有告警触发次数达到累计次数时才会触发统计告警,允许范围2到30次。 |
累计条件 |
统计“告警触发”的条件,目前主要有四种条件,分别为同一会话、同一客户端IP、同一数据库账号、同一客户端工具 |
统计告警中“高、中、低”等级目前仅仅只是统计告警等级标识,没有优先匹配的概念,会全匹配所有统计告警条件。
(2) 配置统计告警的统计条件和满足触发的规则条件,单击<保存>即可配置统计规则。
配置名称为“频繁登录”,满足10秒内同一客户端IP,触发“login”登录规则3次时,会生成统计告警
(1) 打开[规则/规则配置(DB)]页面,点击<新增>按钮,打开规则配置页面,选择“统计规则”。
图1-23 配置统计规则
(2) 输入规则名称为“频繁登录”,统计时长设置为10秒,累计次数为3,选择“同一个客户端IP”,在“行为”标签中选择“login”,选择对应的“业务主机群”,点击<保存>按钮
图1-24 统计规则配置
(3) 配置完成后,当同一个客户端IP,10秒内触发“login”登录规则3次或者3次以上时,就会产生统计告警。
(4) 打开[风险/告警/统计告警]页面,可以根据条件查询统计告警。
图1-25 统计告警查询
规则配置(WEB)的保护对象为Web,包括规则配置、规则优先级和快速加载三个模块,满足规则配置的审计记录,会触发Web告警。
(1) 进入[规则/规则/规则配置(WEB)],单击“规则配置”标签打开规则配置界面。如图1-26所示。
图1-26 Web规则配置
(2) 单击<新增>,出现新增下拉列表框面。如图1-27所示。
图1-27 新增Web规则组
(3) 在下拉列表中选择<新增规则组>进入规则组配置页。如图1-28所示。
图1-28 配置Web规则组
(4) 输入规则组名称,单击<保存>即可添加规则组。如图1-29所示。
图1-29 选择Web规则组
(5) 选择添加的规则组,单击<新增规则>打开规则配置界面。如图1-30所示。
详细选项如表1-2。
表1-2 Web规则信息
选项 |
用途说明 |
规则名称 |
必填项,填入规则名称
|
规则等级 |
必选项,系统默认等级为高。等级包括高、中、低、关注行为、一般行为和不审计。 在[规则/规则/审计选项]页面,选择“满足条件审计”时,此处的“一般行为”等级按钮才可选。 等级为“不审计”时,满足该规则的记录,不存放在系统中,在[审计/日常行为/综合查询]中查询不到记录信息 |
规则组 |
必选项,可选择自定义的规则组,也可以选择系统默认规则组 |
来源IP |
可填项,指访问业务类型的客户端IP地址。 有两种方式: 一种方式是直接填写。可填写多个IP,多个IP用以“,”分割; 另一种方式是从“来访客户网络”中选择。“来访客户网络”的内容在[配置/常规/来访客户网络]中配置,也可以单击<例外IP>,则如来源IP在“例外IP”中,虽然也在“来访客户网络”中,但不触发告警 |
来源MAC地址 |
可填项,客户端的MAC地址 |
请求方法 |
可选项,规则中需要关注的HTTP的请求方法,如GET、POST、HEAD |
URL |
可填项,请求URL地址,支持正则验证 |
请求文件类型 |
可填项,可填写多值,多值间用‘,’隔开。如gif,jpg,js,html |
HTTP版本 |
可选项,可选多项,HTTP目前有4个版本:0.9,1.0,1.1,2.0 |
请求头 |
可填项,HTTP客户程序向服务器发送请求的时候必须指明请求类型。单击<添加>选择请求头类型,填写相关信息 |
请求参数 |
可填项,请求中的参数信息,存在于cookie、post内容或者url中 |
响应码 |
可填项,由3位十进制数字组成,出现在由HTTP服务器发送的响应的第一行 |
时间 |
可选项,选择任意时间,每天,每星期,每月 |
每天告警最大个数 |
默认1000,最大只能输99999,如不想限制每天告警数,可输入0 |
业务主机群 |
添加时可先不选,但如果想要此规则生效,必须要选择规则对应生效的业务主机群 |
白名单 |
可选项,如果审计的记录内容符合白名单则不告警 |
(6) 输入相关的信息,单击<保存>即可添加规则。
调整每个业务主机群下规则优先级,使审计记录按照规则优先级来触发告警。
(1) 进入[规则/规则/规则配置(WEB)],单击“规则优先级”标签打开规则优先级界面。如图1-31所示。
图1-31 Web规则优先级
(2) 选择某一业务主机群,右侧出现该业务主机群对应的规则。如图1-32所示。
图1-32 配置WEB规则优先级
(3) 操作“上移”“下移”“置顶”“置底”图标,调整规则优先级。
(4) 单击<保存调整>,即可配置业务主机群对应规则优先级。
对每个业务主机群快速加载或卸载规则。
(1) 进入[规则/规则/规则配置(WEB)],单击“快速加载”标签打开快速加载界面。如图1-33所示。
图1-33 Web规则快速加载
(2) 选择某一个业务主机群,出现该业务主机群已加载和未加载的所有规则。如图1-34所示。
图1-34 配置Web规则快速加载
(3) 对已加载规则,单击“卸载”图标即可卸载规则。
(4) 对未加载规则,单击“加载”图标即可加载规则。
满足规则白名单中条件的审计记录,不会作触发告警。
确定白名单的相关内容。
(1) 进入[规则/规则/白名单]界面,打开配置规则白名单页面,默认显示所有规则。如图1-35所示。
(2) 选择需要加载白名单的规则,出现已选择的白名单和未选择的白名单。如图1-36所示。
(3) 在白名单和未选择的白名单中,选择白名单,卸载或加载,即可添加、删除白名单。如图1-37所示。
配置一条白名单,即数据库账号为“sa”时,挂载到规则名为“login规则”下,使触发规则名为“login规则”告警时,不告警。
(1) 配置一条规则,规则名为“login规则”,配置规则见1.2.2 配置DB规则。
(2) 进入[规则/规则/白名单]界面,打开配置规则白名单页面,默认显示所有规则。如图1-38所示。
(3) 选择“login规则”,右侧出现“未选择的白名单”。如图1-39所示。
(4) 单击<新增>按钮,打开规则白名单新增界面,输入“名称”为“sa用户不告警”,“数据库账号”为“sa”。如图1-40所示。
(5) 单击<保存>按钮,新增白名单成功。如图1-41所示。
(6) 在“未选择白名单”中选择“sa用户不告警”白名单,单击<加载>,即可加载规则白名单到login规则中。如图1-42所示。
(7) 白名单加载完成后,如果审计记录触发规则名为“login规则”,但是账号为“sa”,则不告警。
系统默认有特征库,针对外部的攻击行为进行告警。
(1) 进入[规则/特征库/特征管理]界面,打开特征库管理页面,默认显示所有特征规则类型。如图1-43所示。
图1-43 特征管理列表图
(1) 登录系统,打开[探测器/探测器相关配置/探测器]页面,在业务主机群中打开“特征”功能
如图1-44所示:
图1-44 打开特征功能
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!