如果您需要审计某类数据库操作,但无需上报告警,您可以为此类数据库操作自定义信任规则。本文介绍如何新增信任规则及信任规则的相关操作。

新增信任规则

注意 配置信任规则后,生效资产中满足该规则的请求,都不会产生告警,建议您谨慎配置。
  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统
  2. 在左侧导航栏,选择规则配置 > 信任规则
  3. 单击新增
  4. 新增规则面板,完成规则配置,并单击保存
    类别 配置项 支持的逻辑符 说明
    基本信息 名称 不涉及 规则名称。长度为1~64个字符,支持中文、英文、半角句号(.)、下划线(_)和短划线(-)。
    注意 同一数据库下的所有用户规则的名称不允许重复。
    描述 不涉及 规则描述信息。
    客户端 客户端来源 等于不等于 客户端的IP地址,支持IPIP分组。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,192.168.XX.XX,192.168.XX.XX。
    客户端工具 等于不等于 客户端使用的工具名称。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,db2bp.exe,javaw.exe,plsqldev.exe。
    客户端端口 不涉及 客户端的访问端口号。支持填写多个值或区间,多个值之间以半角逗号(,)分隔。例如,10-15,20,25,30-40。
    客户端MAC地址 等于不等于 客户端机器的MAC地址。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,fe:58:c0:39:**:**,fe:58:c0:55:**:**。
    操作系统用户 等于不等于 客户端操作系统的登录用户名。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,user01,user02。
    主机名 等于不等于 客户端的主机名。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,HostUser01,HostUser02。
    应用IP 等于不等于 客户端的IP地址,支持IPIP分组。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,192.168.XX.XX,192.168.XX.XX。
    应用用户名 等于不等于 客户端的应用用户名,支持自定义分组选择。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,TestUser01,TestUser02。
    服务端 服务端IP 等于不等于 服务端的IP地址。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,192.168.XX.XX,192.168.XX.XX。
    服务端端口 不涉及 服务端的端口号。支持填写多个值或区间,多个值之间以半角逗号(,)分隔。例如,10-15,20,25,30-40。
    数据库账号 等于不等于 数据库的登录用户名,支持自定义分组选择。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,system,sys。
    服务端MAC地址 等于不等于 服务端所在服务器的MAC地址。支持填写多个值,多个值之间以半角逗号(,)分隔。例如,fe:58:c0:39:**:**,fe:58:c0:55:**:**。
    数据库名(SID) 不涉及 服务端的数据库名。Oracle数据库输入SID,其他数据库输入数据库名称。支持填写多个值,多个值之间以半角逗号(,)分隔。
    行为 对象组 不涉及 SQL语句所属的对象组。支持包含任一对象则满足包含所有对象才满足
    操作类型 不涉及 对数据库的操作类型,取值:
    • DDL:Truncate、Create、Alter、Drop、Comment、Rename。
    • DML:Select、Insert、Update、Delete、Call、Explain、Lock、Merge。
    • DCL:Grant、Revoke。
    • 其他:UNKNOWN、Savepoint、Commit、Rollback等。
    SQL模板ID 不涉及 SQL模板的ID。支持填写多个值,多个值之间以半角逗号(,)分隔。
    SQL关键字 不涉及 配置方式如下:
    1. 添加条件。

      在条件框中输入要匹配的报文内容,支持使用正则表达式。单击添加条件可以添加多个条件。

      添加一个条件后,您可以执行正则校验,验证指定的内容是否与设置的正则表达式相匹配。操作步骤如下:
      1. 单击条件下的正则校验
      2. 正则校验对话框,确认正则表达式,并输入校验的内容
      3. 单击校验
    2. 编写条件运算逻辑表达式

      通过与(&)、或(|)、非(~)和括号描述条件间的组合运算关系,条件使用序号表示,例如,“1”表示条件1。

      示例: 1&2,表示有两个SQL关键字条件,且两个关键字都要满足,才命中规则。
    SQL长度 大于等于 SQL语句的长度。允许的范围为1字节到65536字节。
    关联表数 大于等于 SQL操作关联表的个数。SQL操作涉及表的个数大于等于此值时,数据库审计系统不审计该操作,允许输入最大值为255。
    WHERE子句 不涉及 是否包含WHERE子句。取值:不判断有WHERE子句没有WHERE子句
    结果 执行时长 大于等于小于等于区间 SQL语句的执行时长。单位取值:毫秒微秒。取值范围为0~1800秒。SQL语句的执行时长属于此范围,则命中规则。
    影响行数 大于等于小于等于区间 SQL语句的影响行数。取值范围为0~999999999。SQL操作返回的记录数或受影响的行数属于此范围,数据库审计系统不上报告警。
    返回结果集 不涉及 配置方式如下:
    1. 添加条件。

      在条件框中输入要匹配的报文内容,支持使用正则表达式。单击添加条件可以添加多个条件。

      添加一个条件后,您可以执行正则校验,验证指定的内容是否与设置的正则表达式相匹配。操作步骤如下:
      1. 单击条件下的正则校验
      2. 正则校验对话框,确认正则表达式,并输入校验的内容
      3. 单击校验
    2. 编写条件运算逻辑表达式

      通过与(&)、或(|)、非(~)和括号描述条件间的组合运算关系,条件使用序号表示,例如,“1”表示条件1。

      示例: 1&2,表示有两个SQL关键字条件,且两个关键字都要满足,才命中规则。
    执行状态 不涉及 执行结果中包含的执行状态。
    执行结果描述 匹配不匹配 执行结果中包含的关键词,支持以正则表达式的方式进行匹配。
    其他 生效时间 不涉及 规则的生效周期,支持自定义分组选择
  5. 为规则设置生效资产。
    1. 单击该规则资产数量列下的数字。
    2. 设置使用规则资产对话框,选中规则生效的资产并单击确定
      设置生效资产后,该规则会立即对所有已设置的资产生效。

相关操作

  • 编辑信任规则

    需要修改信任规则时,您可以单击目标规则操作列的编辑,修改该规则。

  • 启用信任规则

    为规则设置生效资产后,该规则会自动启用。您可以通过为规则设置生效资产,启用该规则。

  • 禁用信任规则

    规则下的资产数量为0时,该规则为禁用状态。您可以通过删除规则的生效资产,禁用该规则。

  • 删除信任规则

    无需再使用某个规则时,您可以单击目标规则操作列的删除,删除该规则。