将数据库添加到数据库审计系统后,您可以为数据库配置安全规则(即审计规则),当数据库的审计记录命中审计规则时,数据库审计系统会触发告警。本文介绍如何配置审计规则。
规则说明
审计规则支持内置规则和自定义规则。
内置规则即数据库审计系统默认提供的审计规则,可直接用于关联数据库。
内置规则不可修改。您可以复制内置规则生成一条自定义规则,基于复制的规则修改。
当内置规则不满足您的业务需求时,您可以添加自定义规则。
前提条件
已将数据库资产接入数据库审计系统,并为数据库开启审计。添加数据库的具体操作,请参见管理数据库资产。
添加自定义规则
登录数据库审计系统。具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择。
在安全规则管理页签,单击
图标。在右侧区域配置规则基本信息。
配置项
说明
规则名称
规则名称。规则名称不允许重复。
风险级别
命中规则后触发的告警的风险级别。
规则类型
自定义规则类型分为注入攻击、操作规则、访问规则、口令攻击四类,不同类型需设置的内容不同。
规则组
用于对规则进行分类标识,可自定义规则组名。
例外规则
指定告警白名单的范围。配置例外规则后,在例外规则设置的时段内,来自指定访问源的访问操作会被判断为合法行为,即数据库审计系统不会对该访问操作产生告警。在同一个自定义规则中,最多允许添加3条例外规则。
说明规则类型选择口令攻击时,无法设置例外规则。
规则名称:设置例外规则的名称。
访问来源:设置合法的访问来源信息。不同类型来源信息之间是与的关系,即同时满足所有来源信息,访问操作才会被判断为合法行为。如果您在某一类来源信息中同时设置了多个条件,多个条件之间是或的关系。
配置示例:
来源IP设置为192.168.0.1
数据库用户设置为user01和TestUser01
在例外规则生效时间内,来源IP为192.168.0.1且数据库用户名称为user01或TestUser01的访问操作会被判断为合法访问。来源IP非192.168.0.1,或数据库名称非User01或TestUser01的访问,数据库审计系统会根据已有的审计规则判断该访问操作是否合法,并确定是否上报告警。
时间限制设置:设置例外规则生效的时间段。
根据选择的规则类型配置规则内容,然后单击保存。
规则类型为注入攻击时,需配置以下信息:
类别
配置项
说明
访问来源
来源IP
访问数据库来源IP地址。如:192.168.XX.1~192.168.XX.128。
如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。
数据库用户
数据库所使用的用户名,可添加多个用户名。
客户端工具
客户端使用的工具名称,可添加多个客户端工具。
MAC地址
访问数据库设备的MAC地址。
操作系统用户
访问数据库所使用的操作系统名称。
主机名
访问数据库所使用的计算机主机名。
服务(实例)名
访问的数据库实例名。
操作
SQL操作
基于SQL语句,选择规则命中的操作命令。
条件控制
报文关键字
根据报文关键字支持使用包含、不包含、正则匹配制定规则。
报文关键字-模板
根据报文关键字-模板支持使用包含、不包含、正则匹配制定规则。
执行结果
影响行数限制
适用于包含SELECT、UPDATE、DELETE。
注入特征
注入特征
设置注入攻击的命令特征,数据库审计系统将针对设定的注入特征进行规则匹配。
响应动作
控制动作
无需配置,仅用于提示。
审计
选择审计方式。
告警审计:系统审计该类语句规则,并上报告警。
仅审计:系统仅审计该类语句规则,不上报告警。
不审计:系统不审计该类语句规则。
告警通知次数
每天同一告警规则告警次数上限。
审计结果集
访问结果数据的审计方式。
按审计选项设置:根据您资产设置的结果集审计开关,确定是否审计访问结果数据。
审计:审计访问结果数据。您需要设置审计访问结果数据支持的最大行数和最大字符数。访问结果数据达到最大行数和最大字符数中任一个您设置的阈值时,数据库审计系统都会停止剩余访问结果数据的审计。
不审计:不审计访问结果数据。
时间限制设置
时间限制设置
配置规则的生效时间。
已关联数据库
已关联数据库
选择需要启用该规则的数据库。
其他
规则描述
规则描述信息,最多支持1,000个字符。
规则类型为操作规则时,需配置以下信息:
类别
配置项
说明
访问来源
来源IP
访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。
如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。
数据库用户
数据库所使用的用户名,可添加多个用户名。
客户端工具
访问数据库所使用的客户端工具名称。
MAC地址
访问数据库设备的MAC地址。
操作系统用户
访问数据库所使用的操作系统名称。
主机名
访问数据库所使用的计算机主机名。
服务(实例)名
访问的数据库实例名。
应用身份
应用客户端IP
应用关联客户端IP地址。
应用用户
应用关联用户名。
操作
数据操作
配置DDL、DML、DCL等匹配规则。
指定对象操作
对象
配置当前规则生效的对象。未设置对象时,该规则的默认生效范围为已开启审计的所有数据库资产。单击添加完成生效对象相应配置。设置对象后,该规则只对已设置的对象生效。以下是配置说明:
对象关系:设置在添加指定对象操作面板添加的多个对象之间的关系。
对象组:在下拉列表中选择数据库对象组,支持同时选择多个数据库对象组。
对象:设置该规则生效的对象的详细信息。
SQL操作:选择规则生效的SQL操作范围。
对象集合关系
指定多个对象集合之间的关系,默认为或。
条件控制
条件控制
关联表个数、报文关键字、where条件匹配。
执行结果
执行结果
影响行数、响应时间、执行结果、应答错误号匹配。
响应动作
控制动作
此项目不需要配置,仅用于提示。
审计
设置审计方式。可选值:
告警审计:系统审计该类语句规则,并上报告警。
仅审计:系统仅审计该类语句规则,不上报告警。
不审计:系统不审计该类语句规则。
告警通知次数
每天同一告警规则告警次数。
审计结果集
设置访问结果数据的审计方式。可选值:
按审计选项设置:根据您资产设置的结果集审计开关,确定是否审计访问结果数据。
审计:审计访问结果数据。您需要设置审计访问结果数据支持的最大行数和最大字符数。访问结果数据达到最大行数和最大字符数中任一个您设置的阈值时,数据库审计系统都会停止剩余访问结果数据的审计。
不审计:不审计访问结果数据。
时间限制设置
时间限制设置
配置规则的生效时间。
已关联数据库
已关联数据库
可查看和配置关联数据库,关联数据库即启用本条规则。
其他
规则描述
规则描述信息,最多支持1,000个字符。
规则类型为访问规则时,需配置以下信息:
类别
配置项
说明
访问来源
来源IP
访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。
如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。
数据库用户
数据库所使用的用户名,可添加多个用户名。
客户端工具
客户端使用的工具名称。可添加多个客户端工具。
MAC地址
访问数据库设备的MAC地址。
操作系统用户
访问数据库所使用的操作系统名称。
主机名
访问数据库所使用的计算机主机名。
服务(实例)名
访问的数据库实例名。
响应动作
控制动作
此项目不需要配置,仅用于提示。
审计
设置审计方式。可选值:
告警审计:系统审计该类语句规则,并上报告警。
仅审计:系统仅审计该类语句规则,不上报告警。
告警通知次数
每天同一告警规则告警次数。
时间限制设置
时间限制设置
配置规则的生效时间。
已关联数据库
已关联数据库
可查看和配置关联数据库,关联数据库即启用本条规则。
其他
规则描述
规则描述信息,最多支持1,000个字符。
规则类型为口令攻击时,需配置以下信息:
类别
配置项
说明
访问来源
失败登录控制
以IP、用户名或者IP+用户名作为判断基准,累计失败次数达到指定值进行告警。
执行结果
执行结果
设置记录登录失败风险的时间区间、登录时间次数,及多长时间内按控制动作处理(即放行)的时间段。
响应动作
控制动作
此项目不需要配置,仅用于提示。
审计
设置审计方式。可选值:
告警审计:系统审计该类语句规则,并上报告警。
仅审计:系统仅审计该类语句规则,不上报告警。
已关联数据库
已关联数据库
可查看和配置关联数据库,关联数据库即启用本条规则。
其他
规则描述
规则描述信息,最多支持1,000个字符。
查看规则引用
您可以查询数据库关联的规则信息,并按需进行关联规则、取消关联规则、禁用规则、启用规则等操作。
登录数据库审计系统。具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择。
在规则引用页签,设置查询条件后,单击查询。
规则配置页面显示了已启用的规则配置概况。
检索条件中是否关联选择未关联时,查询出来的规则为未关联规则。可以通过单击规则操作列的关联,关联相应规则。
调整规则优先级
若规则设置中存在相同配置,并关联同一数据库,您可以通过调整规则的优先级,使审计的SQL命中优先级高的规则。
命中规则的顺序会按照先匹配语句规则后匹配安全规则来进行,且同一类型规则之间也会按优先级排序。
登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择页面,单击规则引用页签。
在规则引用页签,设置查询条件后,单击查询。
根据需要,上移、下移、置顶或置底规则后,单击生效优先级。
您可以按照序号识别优先级高低,序号越小的规则优先级越高。
