自定义规则指用户自定义审计规则。您可以添加全新自定义规则,也可以复制一条已有的规则(如系统规则),在此基础上进行修改。本文介绍了如何在数据库审计系统中管理数据库下的自定义规则。

背景信息

  • 添加自定义规则后,您可以在安全规则启用自定义规则。当规则为告警审计时,审计记录命中启用的自定义规则时,会触发风险告警。
  • 自定义规则类型分为注入攻击操作规则访问规则口令攻击四类,不同类型所设置的内容均有不同。
  • 安全规则中有内置规则,内置规则可直接引用关联数据库。内置规则不可修改。

    如需对内置规则进行调整,可以复制内置规则,然后对复制的规则进行修改。用户也可以自己添加自定义的规则。

添加自定义规则

  1. 登录云盾数据库审计系统。
    具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 安全规则页面。
  3. 安全规则管理页签,单击添加图标,新建自定义安全规则。
    添加自定义规则
  4. 安全规则管理右侧添加规则区域,配置规则信息,单击保存
    各规则类型,需要配置的规则信息如下所示:
    • 规则类型为注入攻击时,需配置以下信息:
      类别 配置项 说明
      基本信息 规则名称 规则名称。

      说明规则的名称不允许重复。

      风险级别 命中规则后触发的告警等级,取值:高、中、低、信任。
      规则类型 选择注入攻击
      规则组 规则组用于对规则进行分类标识,可自定义规则组名。
      访问来源 来源IP 访问数据库来源IP地址。如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户 数据库所使用的用户名,可添加多个用户名。
      客户端工具 客户端使用的工具名称,可添加多个客户端工具。
      MAC地址 访问数据库设备的MAC地址。
      操作系统用户 访问数据库所使用的操作系统名称。
      主机名 访问数据库所使用的计算机主机名。
      服务(实例)名 访问的数据库实例名。
      操作 SQL操作 基于SQL语句,选择规则命中的操作命令,操作按照DML、DCL事务控制等功能进行分类。
      条件控制 报文关键字 根据报文关键字提供,包含、不包含、正则匹配制定规则。
      报文关键字-模板 根据报文关键字-模板提供,包含、不包含、正则匹配制定规则。
      注入特征 注入特征 可自定义注入特征。
      执行结果 影响行数限制 适用于包含SELECT、UPDATE、DELETE。
      响应动作 控制动作 此项目不需要配置,仅用于提示。
      审计 可配置告警审计,仅审计和不审计三种方式。
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      • 不审计:系统不审计该类语句规则。
      告警通知次数 每天同一告警规则告警次数。
      时间限制设置 时间限制设置 规则的生效周期,取值:任意时间、每天、每周、每月。
      已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。
      其他 规则描述 规则描述信息,最多1000个字。
    • 规则类型为操作规则时,需配置以下信息:
      类别 配置项 说明
      基本信息 规则名称 规则名称。
      说明 规则的名称不允许重复。
      风险级别 命中规则后触发的告警等级,取值:高、中、低、信任。
      规则类型 选择操作规则
      规则组 规则组用于对规则进行分类标识,可自定义规则组名。
      访问来源 来源IP 访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户 数据库所使用的用户名,可添加多个用户名。
      客户端工具 访问数据库所使用的客户端工具名称。
      MAC地址 访问数据库设备的MAC地址。
      操作系统用户 访问数据库所使用的操作系统名称。
      主机名 访问数据库所使用的计算机主机名。
      服务(实例)名 访问的数据库实例名。
      应用身份 应用客户端IP 应用关联客户端IP地址。
      应用用户 应用关联用户名。
      操作 数据操作 配置DDL、DML、DCL匹配规则。
      条件控制 条件控制 关联表个数、报文关键字、where条件匹配。
      执行结果 执行结果 影响行数、响应时间、执行结果、应答错误号匹配。
      响应动作 控制动作 此项目不需要配置,仅用于提示。
      审计 可配置告警审计、仅审计和不审计三种方式。
      告警通知次数 每天同一告警规则告警次数。
      审计结果集 支持按审计选项设置、审计和不审计三种方式。
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      • 不审计:系统不审计该类语句规则。
      时间限制设置 时间限制设置 规则的生效周期,取值:任意时间、每天、每周、每月。
      其他 规则描述 规则描述信息,最多1000个字。
    • 规则类型为访问规则时,需配置以下信息:
      类别 配置项 说明
      基本信息 规则名称 规则名称。
      说明 规则的名称不允许重复。
      风险级别 命中规则后触发的告警等级,取值:高、中、低、信任。
      规则类型 选择访问规则
      规则组 规则组用于对规则进行分类标识,可自定义规则组名
      访问来源 来源IP 访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户 数据库所使用的用户名,可添加多个用户名。
      客户端工具 客户端使用的工具名称。可添加多个客户端工具。
      MAC地址 访问数据库设备的MAC地址。
      操作系统用户 访问数据库所使用的操作系统名称。
      主机名 访问数据库所使用的计算机主机名。
      服务(实例)名 访问的数据库实例名。
      响应动作 控制动作 此项目不需要配置,仅用于提示。
      审计 可配置告警审计、仅审计和不审计三种方式。
      告警通知次数 每天同一告警规则告警次数。
      时间限制设置 时间限制设置 规则的生效周期,取值:任意时间、每天、每周、每月。
      已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。
      其他 规则描述 规则描述信息,最多1000个字。
    • 规则类型为口令攻击时,需配置以下信息:
      类别 配置项 说明
      基本信息 规则名称 规则名称。
      说明 同一数据库类型下的所有自定义规则的名称不允许重复。
      风险级别 命中规则后触发的告警等级,取值:高、中、低、信任。
      规则类型 选择口令攻击
      规则组 规则组用于对规则进行分类标识,可自定义规则组名。
      访问来源 失败登录控制 以IP、用户名或者IP+用户名作为判断基准,累计失败次数达到指定值进行告警。
      执行结果 执行结果 某个时间内登录失败N次以上记录风险。
      响应动作 控制动作 此项目不需要配置,仅用于提示。
      审计 可配置告警审计和审计两种方式。
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      已关联数据库 已关联数据库 可查看和配置关联数据库,关联数据库即启用本条规则。
      其他 规则描述 规则描述信息,最多1000个字。
    自定义规则添加成功后,可以在左侧的规则导航树中看到已添加的自定义规则。在自定义规则信息页,您可以执行编辑、复制、删除、关联数据库的对应操作。自定义规则信息

规则引用

前提条件

已添加数据库。添加数据库的具体操作,请参见资产

背景信息
  • 将数据库添加到数据库审计系统后,您可以为数据库启用审计规则。当规则为告警审计时,审计记录命中启用的审计规则时,会触发风险告警。
  • 审计规规包括系统内置规则和用户自定义规则。
  • 系统规则为内置规则,包括以下类型:注入攻击规则、操作规则、访问规则、口令规则,每种类型下包括多条规则。不同的数据库支持的系统规则不同,具体以数据库的规则配置页面可选的规则为准。
  1. 登录云盾数据库审计系统。
    具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 安全规则页面,单击规则引用页签。
  3. 规则引用页签选择数据库、规则类型等查询条件后,单击查询
    规则配置页面显示了已启用的规则配置概况。规则概况

    检索条件中是否关联选择未关联时,查询出来的规则为未关联规则。可以通过单击规则操作列的关联,引用相应规则。