规则概述

数据库审计系统提供规则配置功能,您可以根据客户端、服务端、SQL语句等特征自定义检测规则,数据库审计系统将针对不同类型规则执行是否审计或上报告警。

规则说明

规则名称

应用场景

说明

过滤规则

无需审计部分SQL报文,希望节省存储空间,提升数据审计效率。

过滤规则的功能是根据某些特定的条件过滤一些信任的操作,系统对这些操作不审计,从而节省设备的磁盘空间,将有限的资源用来存储更有价值的审计数据。

信任规则

需要审计某类数据库操作,但无需上报告警。您可以为此类数据库操作定义信任规则。例如医疗行业针对统方场景(医院对医生用药量信息的统计)或部分受信任人员的操作,需要添加信任规则。

数据库审计系统对匹配信任规则的报文,不产生告警信息。

安全规则

需要对数据库中的危险操作上报告警。

系统通过将审计到的SQL语句和安全规则进行匹配从而判断SQL语句中是否包含可疑行为。

数据库审计服务提供内置安全规则,该规则包含常见的数据库危险操作,并支持自定义安全规则。

重要

数据库审计C100实例对各类规则生效的优先级为(从高到低):过滤规则、信任规则、安全规则。

数据库审计触发规则匹配的流程如下,在产生审计日志的前提下,通过以下流程触发最终产生审计日志或告警日志。

image

规则维护

为了提高您管理规则的效率,数据库审计提供了以下功能:

  • 导入导出自定义规则

    使用规则维护页面提供的导入导出规则,您可以快速实现自定义规则的备份和规则迁移。具体操作,请参见导出或导入自定义规则

  • 自定义关联数据

    关联数据将一些具有相同或类似属性的资源划分到某一个组内,方便您在自定义规则时批量设置这些资源。数据库审计系统支持配置IP组、数据库账号组、应用用户组、时间组和对象组以及人员组六种类型的关联数据。