You need to enable JavaScript to run this app.
导航
规则配置
最近更新时间:2023.11.30 19:56:57首次发布时间:2023.11.30 19:45:28

规则配置是指根据一些特征(如客户端、服务端、SQL语句)定义危险行为(安全规则)、可以信任的行为(信任规则)和不审计的行为(过滤规则)。当系统审计到对数据库的操作匹配过滤规则的行为则不进行审计,对应匹配信任规则时不会触发告警,对应匹配安全规则时会触发告警。
系统匹配规则的顺序为:1)过滤规则;2)信任规则;3)安全规则。

安全规则

安全规则库用来保存已发现的不安全SQL语句的特征信息。系统通过将审计到的SQL语句和安全规则进行匹配从而判断SQL语句中是否包含可疑行为。
根据不安全SQL的特征,安全规则分成SQL注入攻击规则、漏洞攻击规则、账号安全规则、数据泄露规则和违规操作规则。

  • SQL注入攻击是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的数据库服务器加以解析并执行,SQL注入规则可以有效的发现此类攻击行为并产生告警。
  • 漏洞攻击规则是根据已知的SQL漏洞信息而制定的,漏洞安全规则按照不同的漏洞类型可以分成缓冲区溢出和存储过程滥用。
  • 账号安全规则是针对对数据库服务器进行暴力破解和登录失败场景下的安全规则。
  • 数据泄露规则根据泄露场景分成拖库攻击、数据库外联、大流量返回、非授权访问,系统可以有效地发现这几种泄露场景并及时通知告警。
  • 违规操作规则是针对于应用账号违规操作、运维人员的违规操作、数据库探测和异常语句场景。

系统内置900多条安全规则,覆盖了主流的应用场景,并且在不断地丰富。此外,用户可以自定义安全规则。

规则管理

内置规则不可更改,默认为推荐规则,用户可以通过按钮切换到全部规则,操作方法如下:

说明

内置规则包含特征规则及其他非特征规则,特征规则不可进行克隆和删除操作,非特征规则可进行克隆操作。

在菜单栏选择“规则配置安全规则”进入安全规则页面,选择规则管理,点击【推荐】,切换至【全部】。

用户也可以管理自定义的规则,新增自定义安全规则的操作方法如下:

  1. 在菜单栏选择“规则配置安全规则”进入安全规则页面,选择规则管理页签,点击【新增】。
  1. 新增规则对话框中编辑相关信息,点击【保存】。

详细配置请参见下表。

项目

配置项

说明

基本信息

名称

设置规则名称,必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。

描述

规则描述。

等级

必选项,系统默认等级为中风险。等级包括高风险、中风险和低风险。

所属规则组

必选项,可选择自定义的规则组,也可以选择系统默认规则组。可通过以下步骤对自定义规则组进行管理:点击所属规则组右边的【规则组管理】,可新增、修改和删除自定义规则组。

规则类型

目前支持普通规则和统计规则两类。

  • 普通规则:单条审计记录匹配配置的普通规则,会触发普通告警(例如一条select语句,可能会触发一条普通告警)。
  • 统计规则:指定时间内多次匹配配置的统计规则,会触发一条统计告警(例如5分钟内10次select失败,可能会触发一条统计告警)。

行为

目前支持告警和告警并阻断。

  • 告警:操作命中规则后,仍正常执行,无特殊控制。
  • 告警并阻断:操作命中规则后,该操作对应的数据库连接断开。

客户端

客户端来源

访问业务类型的客户端IP或IP组。可填写多个,以逗号“,”分隔。有关IP组的更多信息,请参考IP组管理

客户端工具

可配多个客户端工具,使用逗号“,”分隔,例如:db2bp.exe,java.exe。

客户端端口

可配置多个值或区间,多个值间以逗号“,”分隔,例如:10-15,20,25,30-40。

客户端MAC地址

可填多值,多个值间以逗号“,”分隔。

操作系统用户

可以选择字符串或者正则表达式,字符串可填多值,多个值间以逗号“,”分隔。

主机名

可以选择字符串或者正则表达式,字符串可填多值,多个值间以逗号“,”分隔。

应用IP

指定规则所匹配的应用IP或IP组,对应审计日志中的关联IP,可填多值,多个值间以逗号“,”分隔。有关IP组的更多信息,请参考IP组管理

应用用户名

指定规则所匹配的应用用户或用户组,对应审计日志中的关联账号,可填多值,多个值间以逗号“,”分隔。有关应用用户组的更多信息,请参考应用用户组管理

服务端

服务端IP

可填多值,多个值间以逗号“,”分隔。

服务端端口

可配置多个值或区间,多个值间以逗号“,”分隔,例如:10-15,20,25,30-40。

数据库账号

指定规则所匹配的数据库登录用户账号或账号组或者使用正则表达式,可填多值,多个值之间以“,”分隔。有关数据库账号组的更多信息,请参考数据库账号组管理

服务端MAC地址

可填多值,多个值间以逗号“,”分隔。

数据库名(SID)

可以选择字符串或者正则表达式,Oracle数据库输入SID,其他数据库输入数据库名,字符串可填多值,多个值间以逗号“,”分隔。

行为

对象组

指定规则匹配的对象组。有关对象组的更多信息,请参考对象组管理

操作类型

指定SQL语句的操作类型,如select、update、delete等。

SQL模板ID

可填项,可填多值,多个值间以逗号“,”分隔。有关SQL模板ID的更多信息,请参考查询SQL模板

SQL关键字

SQL关键字:支持以正则表达式匹配报文。单击【正则验证】输入报文内容,单击【校验】,验证输入内容与执行结果关键字中的正则表达式是否匹配。点击【增加条件】添加多个条件。
条件运算逻辑表达式:SQL关键字填写后,此项为必填项。条件间的关系,支持与、或、非、括号运算(&:与;

SQL长度

指定SQL语句的长度,取值范围:1B~64KB。

关联表数

SQL操作涉及表的个数大于等于此值时触发本规则,允许输入最大值为255。

WHERE子句

是否包含WHERE,支持三个选项:不判断、有WHERE子句、没有WHERE子句。默认为不判断。WHERE子句用于提取满足指定条件的SQL记录,语法如下:
SELECT column_name,column_name
FROM table_name
WHERE column_name operator value;

结果

执行时长

可填项,单位:秒、毫秒、微秒,取值范围:0到半个小时,SQL执行时长属于此范围,则触发规则。

影响行数

取值范围:0~999,999,999。SQL操作返回的记录数或受影响的行数属于此范围,则触发规则。

返回结果集

支持以正则表达式方式匹配结果集。单击【正则验证】输入结果集内容,单击【校验】,验证输入内容与返回结果关键字的正则表达式是否匹配。可通过【添加条件】添加多个条件。
条件运算逻辑表达式:如正则表达式填写后,此项为必填项;条件间的关系,支持“与、或、非、括号”运算(&:与;

执行状态

包含三个执行状态:全部、成功、失败。默认为全部。

执行结果描述

支持以正则表达式方式匹配。

其它

生效时间

可自定义或者选择时间组。有关时间组配置的更多信息,请参考时间组管理

每日最大告警次数

取值范围:0~99,999,输入0表示没有限制。

结果集存储策略

设置触发该规则的告警日志的返回结果集存储策略,包含使用资产设置、保存和不保存。

启用规则

  1. 在菜单栏选择“规则配置安全规则”进入安全规则页面,选择规则管理页签,在规则列表中勾选目标规则,点击【启用选中项】。
  1. 在弹出对话框中勾选资产,点击【确定】,则可将已启用的规则直接应用到选择的资产上。

禁用规则

  1. 在菜单栏选择“规则配置安全规则”进入安全规则页面,选择规则管理页签。
  2. 在规则列表中勾选规则,然后点击【禁用选中项】。
  1. 在弹出的对话框中勾选资产,点击【确定】即可禁用规则。

白名单管理

已经匹配到安全规则的审计日志如果符合白名单的条件就不会触发告警。条件包含客户端、服务端、基本信息、结果、行为等。
新增白名单的操作方法如下:

  1. 在菜单栏选择“规则配置安全规则”进入安全规则页面,选择白名单管理页签。
  1. 点击【新增】,进入新增白名单页面,编辑相关配置项(配置方法与新增自定义规则的参数配置方法相同,请参考规则管理),点击【保存】。

添加白名单后,需在对应的规则上启用该白名单才会生效。启用白名单的操作方法如下:

  1. 在菜单栏选择“规则配置安全规则”进入安全规则页面,选择规则管理页签。
  2. 点击白名单数量列中的数字链接。
  1. 在弹出的对话框中将状态设置为“启用”即可启用白名单。

告警日志页面点击【详细】,进入告警日志详细页面,点击【此类规则不告警】选择“添加到规则白名单”,此种方式会自动将白名单挂载在告警日志对应的安全规则上。
图片

说明

需要将白名单上启用的所有安全规则禁用后才能删除该白名单。

设置

设置规则的优先级状态,启用优先级可自定义规则匹配顺序,匹配上某条规则后,优先级更低的规则就不再匹配。关闭规则的优先级后,每个数据库操作行为可以触发的所有满足条件的安全规则。

信任规则

当系统匹配信任规则后,不会再匹配安全规则,不产生告警信息。
新增信任规则的操作方法如下:

  1. 在菜单栏中选择“规则配置信任规则”进入信任规则页面。
  1. 点击【新增】,在弹出的新增规则对话框中编辑相关信息,点击【保存】。

详细配置请参见规则管理
告警日志页面点击【详情】,进入告警日志详细页面,点击【此类规则不告警】选择“添加到信任规则”,此种方式会自动将信任规则启用到告警日志对应的资产上。
图片

过滤规则

过滤规则的功能是根据某些特定的条件过滤一些操作,系统对这些操作不审计,从而节省设备的磁盘空间,将有限的资源用来存储更有价值的审计数据。
过滤规则的过滤方式有三种,分别是按IP过滤、按SQL模板过滤和按规则过滤。

  • 按IP过滤是设置某些IP地址为信任的IP地址,系统对这些IP地址发起的SQL请求不审计。
  • 按SQL模板过滤是设置SQL模板为可信任的模板,当访问的SQL语句的模板是设置的过滤模板,则不进行审计。
  • 按规则过滤是指按照特定的条件进行审计过滤,规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。

按IP过滤

按IP过滤则是将新增的客户端IP认为是白名单,不审计该IP下任何信息。新增按IP过滤规则的操作方法如下:

  1. 在菜单栏选择“规则配置过滤规则”进入过滤规则页面。
  1. 点击【新增】,进入新增IP过滤页面,编辑名称和不审计的IP,点击【保存】。

详细配置项和说明请参见下表。

配置项

说明

名称

必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。

不审计的IP

格式为“IP/掩码长度”,可配置多组,用“,”隔开。例如:1.2.3.4/32,10.0.0.0/8。

说明

此处添加的不审计的IP默认使用旁路镜像和Agent日志采集方式的全部资产有效。即添加后,资产中有符合上述不审计IP条件的客户端和服务端均不做任何审计,请谨慎添加。

按SQL模板过滤

按SQL模板过滤是为用户提供常见的可信任的SQL模板,减少误告警,提高告警准确率。系统内置部分常见数据库的常见非违规SQL语句模板,且默认对全部对应的数据库生效。
用户可启用或禁用指定模板,操作方法如下:

  1. 过滤规则页面选择按SQL模板过滤页签,勾选SQL模板,点击【启用选中项】或【禁用选中项】。
  1. 在弹出的对话框中点击【确定】

按规则过滤

按规则过滤是为用户提供自定义的过滤规则,支持用户按照特定的条件设置过滤规则,规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。在资产上启用了过滤规则后,符合规则的内容则不会被审计。
添加按规则过滤的规则的操作方法与添加安全规则的方法相同,请参见规则管理

添加自定义过滤规则后,需要在资产上启用过滤规则后才能生效。

  1. 过滤规则页面选择按规则过滤页签,勾选规则,点击【启用选中项】。
  1. 在弹出的选择资产对话框中勾选资产,点击【确定】。

规则维护

规则维护包括升级内置安全规则和导入/导出自定义安全规则。
在菜单栏选择“规则设置规则维护”进入规则维护页面。点击【上传升级包】,选择升级包文件即可升级内置安全规则;点击【导入规则】,选择自定义规则文件,即可导入自定义规则;点击【导出规则】即可导出自定义规则至本地。

关联数据

关联数据将一些具有相同或类似属性的资源划分到某一个组内,方便对这些资源进行批量设置。系统支持IP组、数据库账号组、应用用户组、时间组和对象组以及人员六种类型。

IP组管理

IP组是特定IP的集合。如自定义某规则需要在某固定IP集合内有效时,可以将此固定IP集合添加至IP组,便于用户在规则中使用。IP组管理页面提供新增、导入、导出、编辑、删除和查询功能。

新增IP组

  1. 在菜单栏选择“规则配置关联数据”进入关联数据页面,选择IP组页签,点击【新增】。
  2. 新增IP组页面,编辑名称和IP,点击【保存】。

详细配置请参见下表。

配置项

说明

名称

必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。

IP

  • 可输入多个IP地址,用英文逗号隔开。
  • 可输入地址范围,例如:10.1.1.10-10.1.1.20。
  • 可输入地址段,例如:10.10..,“*”表示0~255。

导入IP组

通过批量导入IP组的方法可以提高创建IP组的效率,操作方法如下:

  1. 点击【下载模板】,下载模板文件至本地。
  1. 编辑模板文件,并保存。
  2. 点击【导入】,在弹出的对话框中选择编辑好的模板文件,导入文件成功后页面会弹出提示信息,并将模板文件中的IP组添加至IP组列表中。

数据库账号组管理

数据库账号组是特定数据库账号的集合。如自定义某规则需要在某固定数据库账号集合内有效时,可将这些数据库账号加入数据库账号组,在自定义规则时选择该数据库账号组即可。
数据库账号组管理页面提供增加、编辑、删除和查询功能。

新增数据库账号组

新增数据库账号组的操作方法如下:

  1. 在菜单栏选择“规则配置关联数据”进入关联数据页面,选择数据库账户组页签,点击【新增】
  2. 进入新增数据库账号页面,编辑名称和数据库账号,点击【保存】。

详细配置请参见下表。

配置项

说明

名称

必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。

数据库账号

可输入多项,用英文逗号隔开。

导入数据库账号组

导入数据库账号组的方法与导入IP组的方法类似,不再赘述。

应用用户组管理

应用用户组是特定应用用户的集合。如自定义某规则需要在某固定应用用户集合内有效时,可以将这些应用用户加入到应用用户组,在创建规则时选择该应用用户组即可。
应用用户组管理页面提供增加、编辑、删除和查询功能。

新增应用用户组

新增应用用户组的操作方法如下:

  1. 在菜单栏选择“规则配置关联数据”进入关联数据页面,选择应用用户组页签,点击【新增】。
  2. 进入新增应用用户页面,编辑名称和应用用户名,点击【保存】。

导入应用用户组

导入应用用户组的操作方法与导入IP组的方法类似,不再赘述。

时间组管理

时间组是一组特定组时间的集合。如自定义某规则需要在特定时间集合内有效时,可将这些时间加入到时间组,在创建规则时选择该时间组即可。
时间组管理页面提供增加、编辑、删除和查询功能。

新建时间组

新增时间组的操作方法如下:

  1. 在菜单栏选择“规则配置关联数据”进入关联数据页面,选择时间组页签,点击【新增】。
  2. 进入新增时间组页面,编辑名称,选择时间范围,点击【保存】。

导入时间组

导入时间组的操作方法与导入IP组方法相似,不再赘述。

对象组管理

对象组是一组关键数据库的关键表及关键字段编辑行为对象集合。如自定义某规则需要在某固定对象集合内有效时,可将这些对象加入对象组,创建规则时选择该对象所在组即可。
对象组管理页面提供增加、编辑、删除、导入、导出和下载模板功能。

新增对象组

新增对象组的操作方法如下:

  1. 在菜单栏选择“规则配置关联数据”进入关联数据页面。
  2. 选择对象组页签,点击【新增】,编辑对象组名称,点击【保存并添加对象】。
  1. 进入编辑对象组页面,编辑资产、数据库/Schema等相关信息,点击【添加对象】。

详细配置请参见下表。

配置项

说明

资产

下拉列表可选择对象组所对应的要选择的资产,默认为所有资产通用。

数据库/Schema

Schema可视为同一个使用者所拥有的所有数据库对象之集合,例如:用户scott所建立的表emp,其完整名称为scott.emp,而scott就是emp的schema名称,所以Schema其实就是一个Oracle数据库的用户名称。

填写要添加的表名。

用户

数据库系统的用户。

视图

视图是从一个或几个基本表(或视图)中导出的虚拟的表。

存储过程

存储过程(Stored Procedure)是一种在数据库中存储复杂程序,以便外部程序调用的一种数据库对象。

函数

数据库系统定义的函数,例如:SUBSTRING('abcde',1,2)。

字段

填写要添加的字段名。

索引

是对数据库表中一个或多个列(例如,employee表的姓名(name)列)的值进行排序的结构。

导入对象组

导入对象组的操作方法与导入IP组方法相似,不再赘述。

人员管理

系统支持对人员进行管理,包括新增、编辑、导入、导出和删除等。

新增人员

新增人员的操作方法如下:

  1. 在菜单栏选择“规则配置关联数据”进入关联数据页面,选择人员页签,点击【新增】
  2. 在弹出的新增人员对话框中编辑工号、IP地址、姓名、手机号等信息,点击【保存】。

详细配置请参见下表。

配置项

说明

应用用户名

  • 人员登录应用所使用的账号,可能是工号、英文名等信息。支持配置多个,多个值间以逗号“,”分隔。例:001,张三,zhangsan。
  • 审计日志中的关联账号满足该条件时,系统将会把人员当做此日志的执行人。

IP地址

人员所使用终端的IP地址。可配置多个,支持配置网段,示例:
10.10.1.1,10.10.1.2,10.1.1.10-10.1.1.20,10.10..,10.10.1.*
审计日志中的客户端IP或关联IP满足该条件时,系统将会把人员当做此日志的执行人,该条件优先级低于应用用户名。

工号

人员对应的工号。

姓名

人员对应的姓名。

手机

人员对应的手机号。

科室

人员所在部门。

房间

人员所在房间号。

主机名

人员所对应资产的主机名称。

Mac地址

人员所对应资产的物理Mac地址。

导入人员

导入人员的操作方法与导入IP组方法相似,不再赘述。