将数据库添加到数据库审计系统后,您可以为数据库配置安全规则(即审计规则),当数据库的审计记录命中审计规则时,数据库审计系统会触发告警。本文介绍如何配置审计规则。
背景信息
审计规则支持内置规则和自定义规则。
- 内置规则即数据库审计系统默认提供的审计规则,可直接用于关联数据库。
内置规则不可修改。您可以复制内置规则生成一条自定义规则,基于复制的规则修改。
- 当内置规则不满足您的业务需求时,您可以添加自定义规则。
前提条件
已添加数据库资产到数据库审计系统,并且已为数据库开启审计。添加数据库的具体操作,请参见管理数据库资产。
添加自定义规则
- 登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择 。
- 在安全规则管理页签,单击图标。
- 在右侧区域配置规则基本信息。
配置项 说明 规则名称 规则名称。规则名称不允许重复。 风险级别 命中规则后触发的告警等级。 规则类型 自定义规则类型分为注入攻击、操作规则、访问规则、口令攻击四类,不同类型需设置的内容不同。 规则组 用于对规则进行分类标识,可自定义规则组名。 例外规则 指定告警白名单的范围。配置例外规则后,在例外规则设置的时段内,来自指定访问源的访问操作会被判断为合法行为,即数据库审计系统不会对该访问操作产生告警。在同一个自定义规则中,最多允许添加3条例外规则。 说明 规则类型选择口令攻击时,无法设置例外规则。- 规则名称:设置例外规则的名称。
- 访问来源:设置合法的访问来源信息。不同类型来源信息之间是与的关系,即同时满足所有来源信息,访问操作才会被判断为合法行为。如果您在某一类来源信息中同时设置了多个条件,多个条件之间是或的关系。配置示例:
- 来源IP设置为192.168.0.1
- 数据库用户设置为user01和TestUser01
- 时间限制设置:设置例外规则生效的时间段。
- 根据选择的规则类型配置规则内容,然后单击保存。
- 规则类型为注入攻击时,需配置以下信息:
类别 配置项 说明 访问来源 来源IP 访问数据库来源IP地址。如:192.168.XX.1~192.168.XX.128。 如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。
数据库用户 数据库所使用的用户名,可添加多个用户名。 客户端工具 客户端使用的工具名称,可添加多个客户端工具。 MAC地址 访问数据库设备的MAC地址。 操作系统用户 访问数据库所使用的操作系统名称。 主机名 访问数据库所使用的计算机主机名。 服务(实例)名 访问的数据库实例名。 操作 SQL操作 基于SQL语句,选择规则命中的操作命令。 条件控制 报文关键字 根据报文关键字支持使用包含、不包含、正则匹配制定规则。 报文关键字-模板 根据报文关键字-模板支持使用包含、不包含、正则匹配制定规则。 执行结果 影响行数限制 适用于包含SELECT、UPDATE、DELETE。 注入特征 注入特征 设置注入攻击的命令特征,数据库审计系统将针对设定的注入特征进行规则匹配。 响应动作 控制动作 无需配置,仅用于提示。 审计 选择审计方式。 - 告警审计:系统审计该类语句规则,并上报告警。
- 仅审计:系统仅审计该类语句规则,不上报告警。
- 不审计:系统不审计该类语句规则。
告警通知次数 每天同一告警规则告警次数上限。 审计结果集 访问结果数据的审计方式。 - 按审计选项设置:根据您资产设置的结果集审计开关,确定是否审计访问结果数据。
- 审计:审计访问结果数据。您需要设置审计访问结果数据支持的最大行数和最大字符数。访问结果数据达到最大行数和最大字符数中任一个您设置的阈值时,数据库审计系统都会停止剩余访问结果数据的审计。
- 不审计:不审计访问结果数据。
时间限制设置 时间限制设置 配置规则的生效时间。 已关联数据库 已关联数据库 选择需要启用该规则的数据库。 其他 规则描述 规则描述信息,最多支持1,000个字符。 - 规则类型为操作规则时,需配置以下信息:
类别 配置项 说明 访问来源 来源IP 访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。 如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。
数据库用户 数据库所使用的用户名,可添加多个用户名。 客户端工具 访问数据库所使用的客户端工具名称。 MAC地址 访问数据库设备的MAC地址。 操作系统用户 访问数据库所使用的操作系统名称。 主机名 访问数据库所使用的计算机主机名。 服务(实例)名 访问的数据库实例名。 应用身份 应用客户端IP 应用关联客户端IP地址。 应用用户 应用关联用户名。 操作 数据操作 配置DDL、DML、DCL等匹配规则。 指定对象操作 对象 配置当前规则生效的对象。未设置对象时,该规则的默认生效范围为已开启审计的所有数据库资产。单击添加完成生生效对象相应配置。设置对象后,该规则只对已设置的对象生效。以下是配置说明: - 对象关系:设置在添加指定对象操作面板添加的多个对象之间的关系。
- 对象组:在下拉列表中选择数据库对象组,支持同时选择多个数据库对象组。
- 对象:设置该规则生效的对象的详细信息。
- SQL操作:选择规则生效的SQL操作范围。
对象集合关系 指定多个对象集合之间的关系,默认为或。 条件控制 条件控制 关联表个数、报文关键字、where条件匹配。 执行结果 执行结果 影响行数、响应时间、执行结果、应答错误号匹配。 响应动作 控制动作 此项目不需要配置,仅用于提示。 审计 设置审计方式。可选值: - 告警审计:系统审计该类语句规则,并上报告警。
- 仅审计:系统仅审计该类语句规则,不上报告警。
- 不审计:系统不审计该类语句规则。
告警通知次数 每天同一告警规则告警次数。 审计结果集 设置访问结果数据的审计方式。可选值: - 按审计选项设置:根据您资产设置的结果集审计开关,确定是否审计访问结果数据。
- 审计:审计访问结果数据。您需要设置审计访问结果数据支持的最大行数和最大字符数。访问结果数据达到最大行数和最大字符数中任一个您设置的阈值时,数据库审计系统都会停止剩余访问结果数据的审计。
- 不审计:不审计访问结果数据。
时间限制设置 时间限制设置 配置规则的生效时间。 已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。 其他 规则描述 规则描述信息,最多支持1,000个字符。 - 规则类型为访问规则时,需配置以下信息:
类别 配置项 说明 访问来源 来源IP 访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。 如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。
数据库用户 数据库所使用的用户名,可添加多个用户名。 客户端工具 客户端使用的工具名称。可添加多个客户端工具。 MAC地址 访问数据库设备的MAC地址。 操作系统用户 访问数据库所使用的操作系统名称。 主机名 访问数据库所使用的计算机主机名。 服务(实例)名 访问的数据库实例名。 响应动作 控制动作 此项目不需要配置,仅用于提示。 审计 设置审计方式。可选值: - 告警审计:系统审计该类语句规则,并上报告警。
- 仅审计:系统仅审计该类语句规则,不上报告警。
告警通知次数 每天同一告警规则告警次数。 时间限制设置 时间限制设置 配置规则的生效时间。 已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。 其他 规则描述 规则描述信息,最多支持1,000个字符。 - 规则类型为口令攻击时,需配置以下信息:
类别 配置项 说明 访问来源 失败登录控制 以IP、用户名或者IP+用户名作为判断基准,累计失败次数达到指定值进行告警。 执行结果 执行结果 设置记录登录失败风险的时间区间、登录时间次数,及多长时间内按控制动作处理(即放行)的时间段。 响应动作 控制动作 此项目不需要配置,仅用于提示。 审计 设置审计方式。可选值: - 告警审计:系统审计该类语句规则,并上报告警。
- 仅审计:系统仅审计该类语句规则,不上报告警。
已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。 其他 规则描述 规则描述信息,最多支持1,000个字符。
- 规则类型为注入攻击时,需配置以下信息:
查看规则引用
您可以查询数据库关联的规则信息,并按需进行关联规则、取消关联规则、禁用规则、启用规则等操作。
- 登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择 。
- 在规则引用页签,设置查询条件后,单击查询。规则配置页面显示了已启用的规则配置概况。
检索条件中是否关联选择未关联时,查询出来的规则为未关联规则。可以通过单击规则操作列的关联,关联相应规则。
调整规则优先级
若规则设置中存在相同配置,并关联同一数据库,您可以通过调整规则的优先级,使审计的SQL命中优先级高的规则。
说明 命中规则的顺序会按照先匹配语句规则后匹配安全规则来进行,且同一类型规则之间也会按优先级排序。
- 登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择规则引用页签。 页面,单击
- 在安全规则页签,设置查询条件后,单击查询。
- 根据需要,上移、下移、置顶或置底规则后,单击生效优先级。
您可以按照序号识别优先级高低,序号越小的规则优先级越高。