将数据库添加到数据库审计系统后,您可以为数据库配置安全规则(即审计规则),当数据库的审计记录命中审计规则时,数据库审计系统会触发告警。本文介绍如何配置审计规则。

背景信息

审计规则支持内置规则和自定义规则。
  • 内置规则即数据库审计系统默认提供的审计规则,可直接用于关联数据库。

    内置规则不可修改。您可以复制内置规则生成一条自定义规则,基于复制的规则修改。

  • 当内置规则不满足您的业务需求时,您可以添加自定义规则。

前提条件

已添加数据库资产到数据库审计系统,并且已为数据库开启审计。添加数据库的具体操作,请参见管理数据库资产

添加自定义规则

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 安全规则
  3. 安全规则管理页签,单击添加图标。
  4. 在右侧区域配置规则基本信息。
    配置项说明
    规则名称规则名称。规则名称不允许重复。
    风险级别命中规则后触发的告警等级。
    规则类型自定义规则类型分为注入攻击操作规则访问规则口令攻击四类,不同类型需设置的内容不同。
    规则组用于对规则进行分类标识,可自定义规则组名。
    例外规则指定告警白名单的范围。配置例外规则后,在例外规则设置的时段内,来自指定访问源的访问操作会被判断为合法行为,即数据库审计系统不会对该访问操作产生告警。在同一个自定义规则中,最多允许添加3条例外规则。
    说明 规则类型选择口令攻击时,无法设置例外规则。
    • 规则名称:设置例外规则的名称。
    • 访问来源:设置合法的访问来源信息。不同类型来源信息之间是与的关系,即同时满足所有来源信息,访问操作才会被判断为合法行为。如果您在某一类来源信息中同时设置了多个条件,多个条件之间是或的关系。
      配置示例:
      • 来源IP设置为192.168.0.1
      • 数据库用户设置为user01TestUser01
      在例外规则生效时间内,来源IP为192.168.0.1且数据库用户名称为user01TestUser01的访问操作会被判断为合法访问。来源IP非192.168.0.1,或数据库名称非User01TestUser01的访问,数据库审计系统会根据已有的审计规则判断该访问操作是否合法,并确定是否上报告警。
    • 时间限制设置:设置例外规则生效的时间段。
  5. 根据选择的规则类型配置规则内容,然后单击保存
    • 规则类型为注入攻击时,需配置以下信息:
      类别配置项说明
      访问来源来源IP访问数据库来源IP地址。如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户数据库所使用的用户名,可添加多个用户名。
      客户端工具客户端使用的工具名称,可添加多个客户端工具。
      MAC地址访问数据库设备的MAC地址。
      操作系统用户访问数据库所使用的操作系统名称。
      主机名访问数据库所使用的计算机主机名。
      服务(实例)名访问的数据库实例名。
      操作SQL操作基于SQL语句,选择规则命中的操作命令。
      条件控制报文关键字根据报文关键字支持使用包含、不包含、正则匹配制定规则。
      报文关键字-模板根据报文关键字-模板支持使用包含、不包含、正则匹配制定规则。
      执行结果影响行数限制适用于包含SELECT、UPDATE、DELETE。
      注入特征注入特征设置注入攻击的命令特征,数据库审计系统将针对设定的注入特征进行规则匹配。
      响应动作控制动作无需配置,仅用于提示。
      审计选择审计方式。
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      • 不审计:系统不审计该类语句规则。
      告警通知次数每天同一告警规则告警次数上限。
      审计结果集访问结果数据的审计方式。
      • 按审计选项设置:根据您资产设置的结果集审计开关,确定是否审计访问结果数据。
      • 审计:审计访问结果数据。您需要设置审计访问结果数据支持的最大行数和最大字符数。访问结果数据达到最大行数和最大字符数中任一个您设置的阈值时,数据库审计系统都会停止剩余访问结果数据的审计。
      • 不审计:不审计访问结果数据。
      时间限制设置时间限制设置配置规则的生效时间。
      已关联数据库已关联数据库选择需要启用该规则的数据库。
      其他规则描述规则描述信息,最多支持1,000个字符。
    • 规则类型为操作规则时,需配置以下信息:
      类别配置项说明
      访问来源来源IP访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户数据库所使用的用户名,可添加多个用户名。
      客户端工具访问数据库所使用的客户端工具名称。
      MAC地址访问数据库设备的MAC地址。
      操作系统用户访问数据库所使用的操作系统名称。
      主机名访问数据库所使用的计算机主机名。
      服务(实例)名访问的数据库实例名。
      应用身份应用客户端IP应用关联客户端IP地址。
      应用用户应用关联用户名。
      操作数据操作配置DDL、DML、DCL等匹配规则。
      指定对象操作对象配置当前规则生效的对象。未设置对象时,该规则的默认生效范围为已开启审计的所有数据库资产。单击添加完成生生效对象相应配置。设置对象后,该规则只对已设置的对象生效。以下是配置说明:
      • 对象关系:设置在添加指定对象操作面板添加的多个对象之间的关系。
      • 对象组:在下拉列表中选择数据库对象组,支持同时选择多个数据库对象组。
      • 对象:设置该规则生效的对象的详细信息。
      • SQL操作:选择规则生效的SQL操作范围。
      对象集合关系指定多个对象集合之间的关系,默认为
      条件控制条件控制关联表个数、报文关键字、where条件匹配。
      执行结果执行结果影响行数、响应时间、执行结果、应答错误号匹配。
      响应动作控制动作此项目不需要配置,仅用于提示。
      审计设置审计方式。可选值:
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      • 不审计:系统不审计该类语句规则。
      告警通知次数每天同一告警规则告警次数。
      审计结果集设置访问结果数据的审计方式。可选值:
      • 按审计选项设置:根据您资产设置的结果集审计开关,确定是否审计访问结果数据。
      • 审计:审计访问结果数据。您需要设置审计访问结果数据支持的最大行数和最大字符数。访问结果数据达到最大行数和最大字符数中任一个您设置的阈值时,数据库审计系统都会停止剩余访问结果数据的审计。
      • 不审计:不审计访问结果数据。
      时间限制设置时间限制设置配置规则的生效时间。
      已关联数据库已关联数据库可查看和配置关联数据库,关联数据库即启用本条规则。
      其他规则描述规则描述信息,最多支持1,000个字符。
    • 规则类型为访问规则时,需配置以下信息:
      类别配置项说明
      访问来源来源IP访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。

      如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

      数据库用户数据库所使用的用户名,可添加多个用户名。
      客户端工具客户端使用的工具名称。可添加多个客户端工具。
      MAC地址访问数据库设备的MAC地址。
      操作系统用户访问数据库所使用的操作系统名称。
      主机名访问数据库所使用的计算机主机名。
      服务(实例)名访问的数据库实例名。
      响应动作控制动作此项目不需要配置,仅用于提示。
      审计设置审计方式。可选值:
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      告警通知次数每天同一告警规则告警次数。
      时间限制设置时间限制设置配置规则的生效时间。
      已关联数据库已关联数据库可查看和配置关联数据库,关联数据库即启用本条规则。
      其他规则描述规则描述信息,最多支持1,000个字符。
    • 规则类型为口令攻击时,需配置以下信息:
      类别配置项说明
      访问来源失败登录控制以IP、用户名或者IP+用户名作为判断基准,累计失败次数达到指定值进行告警。
      执行结果执行结果设置记录登录失败风险的时间区间、登录时间次数,及多长时间内按控制动作处理(即放行)的时间段。
      响应动作控制动作此项目不需要配置,仅用于提示。
      审计设置审计方式。可选值:
      • 告警审计:系统审计该类语句规则,并上报告警。
      • 仅审计:系统仅审计该类语句规则,不上报告警。
      已关联数据库已关联数据库可查看和配置关联数据库,关联数据库即启用本条规则。
      其他规则描述规则描述信息,最多支持1,000个字符。

查看规则引用

您可以查询数据库关联的规则信息,并按需进行关联规则、取消关联规则、禁用规则、启用规则等操作。

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 安全规则 > 规则引用
  3. 规则引用页签,设置查询条件后,单击查询
    规则配置页面显示了已启用的规则配置概况。

    检索条件中是否关联选择未关联时,查询出来的规则为未关联规则。可以通过单击规则操作列的关联,关联相应规则。

调整规则优先级

若规则设置中存在相同配置,并关联同一数据库,您可以通过调整规则的优先级,使审计的SQL命中优先级高的规则。

说明 命中规则的顺序会按照先匹配语句规则后匹配安全规则来进行,且同一类型规则之间也会按优先级排序。
  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 安全规则页面,单击规则引用页签。
  3. 安全规则页签,设置查询条件后,单击查询
  4. 根据需要,上移、下移、置顶或置底规则后,单击生效优先级

    您可以按照序号识别优先级高低,序号越小的规则优先级越高。

    安全规则优先级