语句规则是针对SQL模板所设置的规则,可以基于安全规则帮助您更好地细化业务规则。本文介绍如何管理数据库的语句规则。

背景信息

添加语句规则后,您可以做如下操作:

  • 在语句规则页面启用或禁用语句规则。当规则为告警审计时,审计记录命中启用的语句规则后,会触发风险告警。
  • 语句规则内的元素设置的越多,规则就越细化,SQL模板要满足语句规则内设置的全部条件才会命中。

前提条件

已在数据库审计控制台添加资产。具体操作,请参见添加数据库

添加语句规则

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 语句规则
  3. 语句规则页面,选择需要设置语句规则的数据库,然后单击添加图标。
  4. 语句规则管理页面右侧添加规则区域,配置规则信息,单击保存
    类别配置项说明
    基本信息规则名称规则名称。
    重要 同一数据库下的所有自定义规则的名称不允许重复。
    风险级别命中规则后触发的告警等级。
    访问来源来源IP访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。

    如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

    数据库用户数据库所使用的用户名。
    客户端工具访问数据库所使用的客户端工具名称。
    MAC地址访问数据库设备的MAC地址。
    操作系统用户访问数据库所使用的操作系统名称。
    主机名访问数据库所使用的计算机主机名。
    服务(实例)名访问的数据库实例名。
    应用身份应用客户端IP应用关联客户端IP地址。
    应用用户应用关联用户名。
    响应动作控制动作此项目不需要配置,仅用于提示。
    审计可配置告警审计、仅审计和不审计三种方式。
    • 告警审计:系统审计该类语句规则,并上报告警。
    • 仅审计:系统仅审计该类语句规则,不上报告警。
    • 不审计:系统不审计该类语句规则。
    时间限制设置时间限制设置规则的生效周期。
    自定义规则添加成功后,可以在左侧的规则导航树中看到已添加的自定义规则。在自定义规则信息页,您可以执行编辑、删除操作。

调整规则优先级

若同一条SQL关联了多个不同的语句规则,您可以通过调整规则的优先级,使审计的SQL命中优先级高的规则。

说明 命中规则的顺序会按照先匹配语句规则后匹配安全规则来进行,且同一类型规则之间也会按优先级排序。
  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 语句规则页面。
  3. 语句规则管理页签,选择规则名称,根据需要上移、下移、置顶或置底规则后,单击生效优先级图标。
    语句规则优先级