安恒明御數(shù)據(jù)庫審計產(chǎn)品配置指南

1、安恒明御數(shù)據(jù)庫審計產(chǎn)品配置指南技術(shù)創(chuàng)新，變革未來安恒數(shù)據(jù)庫審計配置培訓(xùn)典型案例配置培訓(xùn)主要內(nèi)容一、設(shè)備基本配置二、基本審計配置三、風(fēng)險告警通知配置四、審計數(shù)據(jù)查看及分析五、其他常規(guī)配置六、排錯平臺使用一、設(shè)備基本配置1、硬件端口介紹2、網(wǎng)絡(luò)配置a、串口線配置IPb、網(wǎng)線直連配置IP3、設(shè)備角色配置數(shù)據(jù)中心+探測器、數(shù)據(jù)中心、探測器三種角色配置4、分布式部署配置5、license導(dǎo)入1、硬件面板端口介紹設(shè)備管理端口(Admin)出廠默認(rèn)IP:00Console口：通用串口管理端口電源指示燈HDD:硬盤指示燈流量采集口(流量鏡像口）6Step 1 ：使用Console口登錄使用串口線和USB轉(zhuǎn)接線

2、DB的console口和PC的USB口。PC上超級終端設(shè)置：波特率：115200數(shù)據(jù)位：8奇偶校驗：無停止位：1流量控制：無Step 2：使用用戶名/密碼 admin/Dbapp2013登錄方法一：串口線登陸配置2、設(shè)備網(wǎng)絡(luò)配置Step 3 ：選擇1選項，按照提示依次輸入IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS后，根據(jù)提示輸入yes確認(rèn)配置，然后系統(tǒng)自動重啟網(wǎng)卡完成修改。8Step 1 ：用一根網(wǎng)線直連admin口使用5類線將筆記本直連到設(shè)備的admin口PC上網(wǎng)卡設(shè)置設(shè)置：IP地址：01子網(wǎng)掩碼：Step 2：使用用戶名/密碼 admin/Dbapp2013方法二：通過直連管理口登陸配置Step 3

3、：接下來同串口線配置9Step 1 ：使用串口或者管理口進入串口程序，選擇8(設(shè)備身份配置)，進入如右圖所示界面：Step 2：選擇1可以把設(shè)備的身份改為純數(shù)據(jù)中心的角色。選擇2可以把設(shè)備身份改為探測器角色。選擇3可以把設(shè)備身份改為數(shù)據(jù)兼探測器角色。3、設(shè)備角色配置10Step 3 ：以把身份配置數(shù)據(jù)中心+探測器為例1、選擇3，代表要將設(shè)備身份更改為：數(shù)據(jù)中心+探測器2、輸入yes，進行確認(rèn)3、輸入本設(shè)備管理口的IP地址114、分布式部署配置數(shù)據(jù)中心12Step 1 ：先將一臺設(shè)備配置好為數(shù)據(jù)中心。Step 2 ：然后修改其他的設(shè)備身份為探測器角色，同時探測器的數(shù)據(jù)中心IP修改為數(shù)據(jù)中心管理口

4、的IP地址。Step 3 ：保證數(shù)據(jù)中心和探測器之間網(wǎng)絡(luò)是互通的。Step 4 : 在數(shù)據(jù)中心上添加對應(yīng)的探測器，如下圖所示：注意：填寫對應(yīng)探測器的管理口IP即可135、License導(dǎo)入二、基本審計配置1、添加探測器2、添加業(yè)務(wù)主機群3、開啟審計引擎、掛載采集端口4、配置被審計服務(wù)器5、配置流量鏡像6、部分?jǐn)?shù)據(jù)庫特殊配置 SQLserver 用戶名審計配置151、添加探測器登陸系統(tǒng)，在探測器配置界面，如下圖所示：探測器IP必填1、發(fā)送最大速率只針對分布式部署有效2、發(fā)送主目錄和發(fā)送時間段一般不建議修改162、添加業(yè)務(wù)主機群選擇相應(yīng)的探測器，在業(yè)務(wù)主機群界面，單擊“添加”，如下圖所示：1、業(yè)務(wù)

5、主機群類型一旦選擇之后不能修改173、開啟審計引擎、掛載采集端口配置完業(yè)務(wù)主機群類型之后，要選擇開啟審計引擎，同時需要掛載采集端口，如下圖所示：點擊保存即可184、配置被審計服務(wù)器選擇對應(yīng)的業(yè)務(wù)主機群，點擊“新增物理端口”按鈕，如下圖所示：被審計數(shù)據(jù)庫細(xì)信息雙向?qū)徲嫞褐刚埱蠛头祷囟紝徲?9配置完成物理端口后，選擇將要掛載的物理端口，如下圖所示：點擊掛載至此，基本的審計就配置完成！205、配置流量鏡像以cisco為例配置鏡像，其他交換機可能稍微會有些不一樣，具體請查看各個品牌交換機的配置手冊。配置鏡像源端口配置鏡像目的端口配置流量鏡像方向21配置服務(wù)器端口流量鏡像一般注意以下幾點：1、只需要把被

6、審計服務(wù)器的物理端口(對外提供服務(wù))的流量鏡像到我們審計設(shè)備即可，一般不建議把整個交換機的流量都鏡像過來。2、鏡像要主要是請求和返回，不能鏡像錯方向，一般建議選擇both3、如果是虛擬化環(huán)境，如果DB和web之間的通信都是在虛擬機內(nèi)部完成的，這種是不支持的！4、配置交換機鏡像一般建議由客戶方網(wǎng)管進行配置，避免因為對客戶網(wǎng)絡(luò)不熟悉導(dǎo)致的網(wǎng)絡(luò)故障。226、其他數(shù)據(jù)庫審計特殊配置由于SQL Server 2005 和2008 會話連接過程都是加密，針對用戶名、客戶端工具名、操作系統(tǒng)主機名等是沒法通過旁路進行解密審計，目前針對這類需求研發(fā)，暫時通過在數(shù)據(jù)庫審計上配置SQL Server數(shù)據(jù)庫賬號和密碼

7、，獲取目標(biāo)數(shù)據(jù)庫的session信息，以達到對用戶名、客戶端工具名等的審計。Step 1: 在SQL server 2005主機配置中增加用戶名審計配置。三、風(fēng)險告警通知配置1、全局審計策略配置 全審計和滿足條件審計2、普通、特征規(guī)則配置 普通規(guī)則(高、中、低、關(guān)注、不審計)及特征規(guī)則3、告警通知策略配置 Syslog、Email、SNMP、短信、ftp告警通知配置4、規(guī)則白名單配置5、其他策略相關(guān)配置 源IP過濾、指定源IP審計、報文過濾241、全局審計策略配置a、全部審計：指系統(tǒng)無條件記錄所有的訪問記錄b、滿足條件審計：只審計滿足指定策略的訪問記錄。2、普通、特征規(guī)則配置a、普通審計規(guī)則：

8、分DB審計規(guī)則和web審計規(guī)則b、內(nèi)置特征庫：只審計滿足指定策略的訪問記錄。26DB審計規(guī)則配置a、新建規(guī)則組輸入規(guī)則組名稱，點擊保存新建規(guī)則組27DB審計規(guī)則配置b、新建規(guī)則規(guī)則配置界面28Web審計規(guī)則配置a、新建規(guī)則組b、新建規(guī)則規(guī)則組配置29Web審計規(guī)則配置web規(guī)則詳細(xì)配置界面30Web審計規(guī)則配置web審計規(guī)則樣例31Web審計規(guī)則配置c、規(guī)則優(yōu)先級配置同db審計的規(guī)則優(yōu)先級，同級別排在最前面的優(yōu)先級最高！d、快速加載規(guī)則也同db審計規(guī)則快速加載32特征規(guī)則庫a、內(nèi)置特征庫規(guī)則，同時包含一些常見web攻擊特征及db攻擊特征的規(guī)則，這些規(guī)則只能禁用和啟用，不能刪除和創(chuàng)建！版本升級的

9、時候會更新特征規(guī)則！3、禁用和啟用特征規(guī)則1、特征規(guī)則2、內(nèi)置特征規(guī)則組333、告警通知配置a、告警通知發(fā)送策略配置配置那些告警行為需要通過不同的發(fā)送方式發(fā)送給管理員或者管理設(shè)備。b、告警通知發(fā)送方式配置Email、短信，其余syslog、snmp、ftp系統(tǒng)自身無需認(rèn)證c、告警通知接收配置告警通知接收的目標(biāo)配置(syslog、snmp、ftp)告警通知內(nèi)容及發(fā)送的策略接收者Email、短信發(fā)送syslog、snmp、ftp發(fā)送4、規(guī)則白名單配置作用：屬于具體某個規(guī)則，從告警規(guī)則的大集合中排除一些可能實際是合規(guī)的訪問行為。分類：a、DB審計白名單b、Web審計白名單規(guī)則白名單列表規(guī)則已加載白名

10、單審計規(guī)則列表白名單配置354、規(guī)則白名單配置配置方式：分類：a、通過風(fēng)險告警直接生成白名單b、在白名單策略直接配置白名單直接根據(jù)風(fēng)險生成白名單規(guī)則，web和db相同364、規(guī)則白名單配置b、直接配置白名單(DB)在白名單配置直接新增白名單374、規(guī)則白名單配置b、直接配置白名單(web)在白名單配置直接新增白名單385、其他規(guī)則策略配置a、指定源IP地址審計b、源IP地址過濾c、報文過濾39a、指定源IP地址審計Step 1:指定源IP審計Step 2:新增Step 3:配置來源IP及保存40b、IP過濾Step 1:IP過濾Step 2:新增Step 3:配置IP及保存41c、報文過濾：只

11、能從審計記錄中添加報文過濾，不支持手工定制過濾。根據(jù)去參數(shù)化后的SQL模板進行過濾直接生成過濾模板四、審計數(shù)據(jù)查看及分析1、審計數(shù)據(jù)查看2、告警數(shù)據(jù)查看及處理3、報表數(shù)據(jù)分析4、備份恢復(fù)數(shù)據(jù)查看 431、審計數(shù)據(jù)查看a、通過全文檢索引擎進行檢索滿足條件的審計記錄。44b、查看審計記錄詳細(xì)信息請求sql等信息客戶端連接信息服務(wù)器信息45c、根據(jù)會話查看或回放審計記錄462、告警數(shù)據(jù)查看及處理a、告警數(shù)據(jù)查看。473、告警數(shù)據(jù)查看及處理b、告警數(shù)據(jù)處理。Step 1Step 2:選擇風(fēng)險Step 3:處理所選Step 4：處理完成483、報表數(shù)據(jù)分析a、打開系統(tǒng)內(nèi)置的報表。系統(tǒng)內(nèi)置報表列表報表數(shù)據(jù)

12、分析49b、自定義報表Step 1: 自定義報表Step 2: 新增報表Step 3: 報表內(nèi)容定義50c、報表自動發(fā)送五、其他常規(guī)配置及使用1、用戶名、角色及安全配置2、數(shù)據(jù)備份及恢復(fù)配置3、三層審計配置4、堡壘關(guān)聯(lián)配置5、鏡像參數(shù)配置6、系統(tǒng)操作日志查看7、自動清理配置8、業(yè)務(wù)數(shù)據(jù)清除及恢復(fù)出廠設(shè)置521、用戶名、角色及安全配置a、用戶配置b、角色配置c、安全配置532、數(shù)據(jù)備份及恢復(fù)配置a、自動備份及恢復(fù)（針對審計數(shù)據(jù)）b、手工備份及恢復(fù) （針對配置數(shù)據(jù)）3、三層審計配置/index.php?id=1select * from test where id =1 應(yīng)用賬號：jamm2010

13、DB賬號：system優(yōu)勢：國內(nèi)少數(shù)同時支持Agent和旁路學(xué)習(xí)兩種三層關(guān)聯(lián)算法的審計產(chǎn)品Agent方式支持java語言開發(fā)的三層B/S系統(tǒng)100%準(zhǔn)確關(guān)聯(lián)旁路學(xué)習(xí)方式最高支持80%關(guān)聯(lián)率，70%-90%關(guān)聯(lián)準(zhǔn)確度支持自定義B/S用戶名提取56a、三層審計自動建模及手工關(guān)聯(lián)分析4、堡壘關(guān)聯(lián)加密審計605、鏡像模式配置鏡像模式分：普通、trunk、混合三種，一般情況下如果鏡像流量不高，建議直接使用混合，如果流量比較高，最好是按照實際情況配置。選擇鏡像參數(shù)，然后保存即可616、系統(tǒng)操作日志系統(tǒng)操作日志：也叫自身審計日志，主要是管理員及其他人員對數(shù)據(jù)庫審計設(shè)備的所有訪問記錄。627、自動清理配置自動清理：系統(tǒng)自動的完成對審計數(shù)據(jù)進行管理，在這里是需要配置動態(tài)管理策略的閾值！638、業(yè)務(wù)數(shù)據(jù)清除及恢復(fù)出廠設(shè)置業(yè)務(wù)數(shù)據(jù)清理：只清除審計的業(yè)務(wù)數(shù)據(jù)，不刪除配置?；謴?fù)出廠設(shè)置：刪除所有配置及審計數(shù)據(jù)。六、故障排查平臺使用1、一鍵檢測2、鏡像內(nèi)容分析及抓包3、系統(tǒng)配置核對4、系統(tǒng)日志查看5、服務(wù)管理6、全文索引管理651、一鍵檢測662、鏡像內(nèi)容分析及抓包Step 1:選擇物理端口Step 2:根據(jù)過濾條件開始數(shù)據(jù)采集Step 3:流量分析和