语句规则是针对SQL模板所设置的规则,可以基于安全规则帮助您更好地细化业务规则。本文介绍如何管理数据库的语句规则。
背景信息
语句规则内的元素设置的越多,规则就越细化,SQL模板要满足语句规则内设置的全部条件才会命中。
前提条件
已在数据库审计控制台添加资产。具体操作,请参见添加数据库。
添加并启用语句规则
登录数据库审计系统。具体操作,请参见登录数据库审计系统。
在左侧导航栏,选择。
在语句规则页面,选择需要设置语句规则的数据库,然后单击
图标。在语句规则管理页面右侧添加规则区域,配置规则信息,单击保存。
类别
配置项
说明
基本信息
规则名称
规则名称。
重要同一数据库下的所有自定义规则的名称不允许重复。
风险级别
命中规则后触发的告警等级。
访问来源
来源IP
访问数据库来源IP地址,如:192.168.XX.1~192.168.XX.128。
如果需要所有来源都允许访问数据库,IP地址可设置为0.0.0.0~255.255.255.255。
数据库用户
数据库所使用的用户名。
客户端工具
访问数据库所使用的客户端工具名称。
MAC地址
访问数据库设备的MAC地址。
操作系统用户
访问数据库所使用的操作系统名称。
主机名
访问数据库所使用的计算机主机名。
服务(实例)名
访问的数据库实例名。
应用身份
应用客户端IP
应用关联客户端IP地址。
应用用户
应用关联用户名。
响应动作
控制动作
此项目不需要配置,仅用于提示。
审计
可配置告警审计、仅审计和不审计三种方式。
告警审计:系统审计该类语句规则,并上报告警。
仅审计:系统仅审计该类语句规则,不上报告警。
不审计:系统不审计该类语句规则。
时间限制设置
时间限制设置
规则的生效周期。
自定义规则添加成功后,可以在左侧的规则导航树中看到已添加的自定义规则。在自定义规则信息页,您可以执行编辑、删除操作。
在语句规则页面,单击目标规则的状态按钮,启用或禁用语句规则。
当规则为告警审计时,审计记录命中启用的语句规则后,会触发风险告警。
调整规则优先级
若同一条SQL关联了多个不同的语句规则,您可以通过调整规则的优先级,使审计的SQL命中优先级高的规则。
命中规则的顺序会按照先匹配语句规则后匹配安全规则来进行,且同一类型规则之间也会按优先级排序。
登录数据库审计系统。具体操作,请参见登录数据库审计系统。
- 在左侧导航栏,选择页面。
在语句规则页面,选择规则名称,根据需要上移、下移、置顶或置底规则后,单击
图标。
相关文档
安全规则和语句规则的生效优先级,及安全规则的配置方法,请参见配置安全规则。