文档

配置语句规则

更新时间:

语句规则是针对SQL模板所设置的规则,可以基于安全规则帮助您更好地细化业务规则。本文介绍如何管理数据库的语句规则。

背景信息

语句规则内的元素设置的越多,规则就越细化,SQL模板要满足语句规则内设置的全部条件才会命中。

前提条件

已在数据库审计控制台添加资产。具体操作,请参见添加数据库

添加并启用语句规则

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统

  2. 在左侧导航栏,选择规则配置 > 语句规则

  3. 语句规则页面,选择需要设置语句规则的数据库,然后单击添加图标。

  4. 语句规则管理页面右侧添加规则区域,配置规则信息,单击保存

    类别

    配置项

    说明

    基本信息

    规则名称

    规则名称。

    重要

    同一数据库下的所有自定义规则的名称不允许重复。

    风险级别

    命中规则后触发的告警等级。

    访问来源

    来源IP

    访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。

    如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。

    数据库用户

    数据库所使用的用户名。

    客户端工具

    访问数据库所使用的客户端工具名称。

    MAC地址

    访问数据库设备的MAC地址。

    操作系统用户

    访问数据库所使用的操作系统名称。

    主机名

    访问数据库所使用的计算机主机名。

    服务(实例)名

    访问的数据库实例名。

    应用身份

    应用客户端IP

    应用关联客户端IP地址。

    应用用户

    应用关联用户名。

    响应动作

    控制动作

    此项目不需要配置,仅用于提示。

    审计

    可配置告警审计、仅审计和不审计三种方式。

    • 告警审计:系统审计该类语句规则,并上报告警。

    • 仅审计:系统仅审计该类语句规则,不上报告警。

    • 不审计:系统不审计该类语句规则。

    时间限制设置

    时间限制设置

    规则的生效周期。

    自定义规则添加成功后,可以在左侧的规则导航树中看到已添加的自定义规则。在自定义规则信息页,您可以执行编辑、删除操作。

  5. 语句规则页面,单击目标规则的状态按钮,启用或禁用语句规则。

    当规则为告警审计时,审计记录命中启用的语句规则后,会触发风险告警。

调整规则优先级

若同一条SQL关联了多个不同的语句规则,您可以通过调整规则的优先级,使审计的SQL命中优先级高的规则。

说明

命中规则的顺序会按照先匹配语句规则后匹配安全规则来进行,且同一类型规则之间也会按优先级排序。

  1. 登录数据库审计系统。具体操作,请参见登录数据库审计系统

  2. 在左侧导航栏,选择规则配置 > 语句规则页面。
  3. 语句规则页面,选择规则名称,根据需要上移、下移、置顶或置底规则后,单击生效优先级图标。

    语句规则优先级

相关文档

安全规则和语句规则的生效优先级,及安全规则的配置方法,请参见配置安全规则