将数据库添加到数据库审计系统后,您可以为数据库配置审计规则(即安全规则)。当审计记录命中配置并启用的审计规则时,审计规则会触发告警。本文介绍如何配置审计规则。

背景信息

  • 审计规则中有内置规则,内置规则可直接引用关联数据库。内置规则不可修改。

    如需对内置规则进行调整,可以复制内置规则,然后对复制的规则进行修改。用户也可以自己添加自定义的规则。

  • 添加自定义规则后,您可以在安全规则页面启用自定义规则。当规则为告警审计时,审计记录命中启用的自定义规则时,会触发风险告警。
  • 自定义规则类型分为注入攻击操作规则访问规则口令攻击四类,不同类型需设置的内容不同。

添加自定义规则

  1. 登录云盾数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 安全规则
  3. 安全规则管理页签,单击添加图标。
  4. 安全规则管理页面右侧添加规则区域,配置规则信息,单击保存
    各规则类型,需要配置的规则信息如下所示:
    • 规则类型为注入攻击时,需配置以下信息:
      类别 配置项 说明
      基本信息 规则名称 规则名称。
      说明 规则的名称不允许重复。
      风险级别 命中规则后触发的告警等级。
      规则类型 选择注入攻击
      规则组 规则组用于对规则进行分类标识,可自定义规则组名。
      例外规则 使用例外规则指定告警白名单的范围。配置例外规则后,在该规则设置的时段内,来自指定访问源的访问操作会被判断为合法行为,数据库审计系统不会对该访问操作产生告警。以下是配置说明:
      • 规则名称:设置例外规则的名称。
      • 访问来源:设置合法的访问来源信息。不同类型来源信息之间是与的关系,即同时满足所有来源信息,访问操作才会被判断为合法行为。如果您在某一类来源信息中同时设置了多个条件,多个条件之间是或的关系。
        说明 配置示例:
        • 来源IP设置为192.168.0.1
        • 数据库用户设置为user01TestUser01
        在例外规则生效时间内,来源IP为192.168.0.1且数据库用户名称为user01TestUser01的访问操作会被判断为合法访问。来源IP非192.168.0.1,或数据库名称非User01TestUser01的访问,数据库审计系统会根据已有的审计规则判断该访问操作是否合法,并确定是否上报告警。
      • 时间限制设置:设置例外规则生效的时间段。

      在同一个自定义规则中,最多允许添加3条例外规则。

      访问来源 来源IP 访问数据库来源IP地址。如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户 数据库所使用的用户名,可添加多个用户名。
      客户端工具 客户端使用的工具名称,可添加多个客户端工具。
      MAC地址 访问数据库设备的MAC地址。
      操作系统用户 访问数据库所使用的操作系统名称。
      主机名 访问数据库所使用的计算机主机名。
      服务(实例)名 访问的数据库实例名。
      操作 SQL操作 基于SQL语句,选择规则命中的操作命令,操作按照DML、DCL、DCL、事务控制等类型分类。
      条件控制 报文关键字 根据报文关键字支持使用包含、不包含、正则匹配制定规则。
      报文关键字-模板 根据报文关键字-模板支持使用包含、不包含、正则匹配制定规则。
      执行结果 影响行数限制 适用于包含SELECT、UPDATE、DELETE。
      注入特征 注入特征 可自定义注入特征。
      响应动作 控制动作 此项目不需要配置,仅用于提示。
      审计 设置审计方式。可选值:
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      • 不审计:系统不审计该类语句规则。
      告警通知次数 每天同一告警规则告警次数上限。
      审计结果集 设置访问结果数据的审计方式。可选值:
      • 按审计选项设置:根据您资产设置的结果集审计开关,确定是否审计访问结果数据。
      • 审计:审计访问结果数据。您需要设置审计访问结果数据支持的最大行数和最大字符数。访问结果数据达到最大行数和最大字符数中任一个您设置的阈值时,数据库审计系统都会停止剩余访问结果数据的审计。
      • 不审计:不审计访问结果数据。
      时间限制设置 时间限制设置 配置规则的生效时间。
      已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。
      其他 规则描述 规则描述信息,最多支持1,000个字符。
    • 规则类型为操作规则时,需配置以下信息:
      类别 配置项 说明
      基本信息 规则名称 规则名称。
      说明 规则的名称不允许重复。
      风险级别 命中规则后触发的告警等级。
      规则类型 选择操作规则
      规则组 规则组用于对规则进行分类标识,可自定义规则组名。
      例外规则 使用例外规则指定告警白名单的范围。配置例外规则后,在该规则设置的时段内,来自指定访问源的访问操作会被判断为合法行为,数据库审计系统不会对该访问操作产生告警。以下是配置说明:
      • 规则名称:设置例外规则的名称。
      • 访问来源:设置合法的访问来源信息。不同类型来源信息之间是与的关系,即同时满足所有来源信息,访问操作才会被判断为合法行为。如果您在某一类来源信息中同时设置了多个条件,多个条件之间是或的关系。
        说明 配置示例:
        • 来源IP设置为192.168.0.1
        • 数据库用户设置为user01TestUser01
        在例外规则生效时间内,来源IP为192.168.0.1且数据库用户名称为user01TestUser01的访问操作会被判断为合法访问。来源IP非192.168.0.1,或数据库名称非User01TestUser01的访问,数据库审计系统会根据已有的审计规则判断该访问操作是否合法,并确定是否上报告警。
      • 时间限制设置:设置例外规则生效的时间段。

      在同一个自定义规则中,最多允许添加3条例外规则。

      访问来源 来源IP 访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户 数据库所使用的用户名,可添加多个用户名。
      客户端工具 访问数据库所使用的客户端工具名称。
      MAC地址 访问数据库设备的MAC地址。
      操作系统用户 访问数据库所使用的操作系统名称。
      主机名 访问数据库所使用的计算机主机名。
      服务(实例)名 访问的数据库实例名。
      应用身份 应用客户端IP 应用关联客户端IP地址。
      应用用户 应用关联用户名。
      操作 数据操作 配置DDL、DML、DCL等匹配规则。
      指定对象操作 对象 配置当前规则生效的对象。未设置对象时,该规则的默认生效范围为已开启审计的所有数据库资产。单击添加完成生生效对象相应配置。设置对象后,该规则只对已设置的对象生效。以下是配置说明:
      • 对象关系:设置在添加指定对象操作面板添加的多个对象之间的关系。
      • 对象组:在下拉列表中选择数据库对象组,支持同时选择多个数据库对象组。
      • 对象:设置该规则生效的对象的详细信息。
      • SQL操作:选择规则生效的SQL操作范围。
      对象集合关系 指定多个对象集合之间的关系,默认为
      条件控制 条件控制 关联表个数、报文关键字、where条件匹配。
      执行结果 执行结果 影响行数、响应时间、执行结果、应答错误号匹配。
      响应动作 控制动作 此项目不需要配置,仅用于提示。
      审计 设置审计方式。可选值:
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      • 不审计:系统不审计该类语句规则。
      告警通知次数 每天同一告警规则告警次数。
      审计结果集 设置访问结果数据的审计方式。可选值:
      • 按审计选项设置:根据您资产设置的结果集审计开关,确定是否审计访问结果数据。
      • 审计:审计访问结果数据。您需要设置审计访问结果数据支持的最大行数和最大字符数。访问结果数据达到最大行数和最大字符数中任一个您设置的阈值时,数据库审计系统都会停止剩余访问结果数据的审计。
      • 不审计:不审计访问结果数据。
      时间限制设置 时间限制设置 配置规则的生效时间。
      已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。
      其他 规则描述 规则描述信息,最多支持1,000个字符。
    • 规则类型为访问规则时,需配置以下信息:
      类别 配置项 说明
      基本信息 规则名称 规则名称。
      说明 规则的名称不允许重复。
      风险级别 命中规则后触发的告警等级。
      规则类型 选择访问规则
      规则组 规则组用于对规则进行分类标识,可自定义规则组名
      例外规则 使用例外规则指定告警白名单的范围。配置例外规则后,在该规则设置的时段内,来自指定访问源的访问操作会被判断为合法行为,数据库审计系统不会对该访问操作产生告警。以下是配置说明:
      • 规则名称:设置例外规则的名称。
      • 访问来源:设置合法的访问来源信息。不同类型来源信息之间是与的关系,即同时满足所有来源信息,访问操作才会被判断为合法行为。如果您在某一类来源信息中同时设置了多个条件,多个条件之间是或的关系。
        说明 配置示例:
        • 来源IP设置为192.168.0.1
        • 数据库用户设置为user01TestUser01
        在例外规则生效时间内,来源IP为192.168.0.1且数据库用户名称为user01TestUser01的访问操作会被判断为合法访问。来源IP非192.168.0.1,或数据库名称非User01TestUser01的访问,数据库审计系统会根据已有的审计规则判断该访问操作是否合法,并确定是否上报告警。
      • 时间限制设置:设置例外规则生效的时间段。

      在同一个自定义规则中,最多允许添加3条例外规则。

      访问来源 来源IP 访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户 数据库所使用的用户名,可添加多个用户名。
      客户端工具 客户端使用的工具名称。可添加多个客户端工具。
      MAC地址 访问数据库设备的MAC地址。
      操作系统用户 访问数据库所使用的操作系统名称。
      主机名 访问数据库所使用的计算机主机名。
      服务(实例)名 访问的数据库实例名。
      响应动作 控制动作 此项目不需要配置,仅用于提示。
      审计 设置审计方式。可选值:
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      告警通知次数 每天同一告警规则告警次数。
      时间限制设置 时间限制设置 配置规则的生效时间。
      已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。
      其他 规则描述 规则描述信息,最多支持1,000个字符。
    • 规则类型为口令攻击时,需配置以下信息:
      类别 配置项 说明
      基本信息 规则名称 规则名称。
      说明 同一数据库类型下的所有自定义规则的名称不允许重复。
      风险级别 命中规则后触发的告警等级。
      规则类型 选择口令攻击
      规则组 规则组用于对规则进行分类标识,可自定义规则组名。
      访问来源 失败登录控制 以IP、用户名或者IP+用户名作为判断基准,累计失败次数达到指定值进行告警。
      执行结果 执行结果 设置记录登录失败风险的时间区间、登录时间次数,及多长时间内按控制动作处理(即放行)的时间段。
      响应动作 控制动作 此项目不需要配置,仅用于提示。
      审计 设置审计方式。可选值:
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。
      其他 规则描述 规则描述信息,最多支持1,000个字符。
    自定义规则添加成功后,可以在左侧的规则导航树中看到已添加的自定义规则。在自定义规则信息页,您可以执行编辑、复制、删除、关联数据库的对应操作。

规则引用

前提条件

已添加数据库。添加数据库的具体操作,请参见管理数据库资产

背景信息

  • 将数据库添加到数据库审计系统后,您可以为数据库启用审计规则。当规则为告警审计时,审计记录命中启用的审计规则时,会触发风险告警。
  • 审计规规包括系统内置规则和用户自定义规则。
  • 系统规则为内置规则,包括以下类型:注入攻击规则、操作规则、访问规则、口令规则,每种类型下包括多条规则。不同的数据库支持的系统规则不同,具体以数据库的规则配置页面可选的规则为准。

操作步骤

  1. 登录云盾数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 安全规则页面,单击规则引用页签。
  3. 规则引用页签选择数据库、规则类型等查询条件后,单击查询
    规则配置页面显示了已启用的规则配置概况。

    检索条件中是否关联选择未关联时,查询出来的规则为未关联规则。可以通过单击规则操作列的关联,引用相应规则。