数据库审计系统和策略配置

数据库审计系统支持三权分立,包括系统管理员、策略配置员、审计查看员三个角色,不同角色功能权限不同。

系统配置

在使用数据库审计系统时,需要系统管理员完成资产配置、服务器配置、告警配置等。

资产配置主要包括:1、完成数据库配置;2、针对数据库部署Agent,采集数据库流量;3、针对web服务安装Agent三层关联插件,通过流量探针采集web应用流量。详见用户指南-资产管理。

策略规则配置

策略配置员可以通过规则配置、策略配置对命中策略的日志进行风险管理及预警。
创建规则

在【规则配置】列表页面,单击【创建规则】可选择具体创建的规则类型(包括口令攻击、访问规则、注入攻击、操作规则)。

创建策略

在【策略管理】列表页面,单击【新增】可创建新的策略。

其中数据库名、审计规则、IP对象、时间表、来源白名单为配置的策略条件。

审计类型、风险等级为对命中策略条件的日志的定义。如执行了某条数据库操作语句,命中了配置的策略条件,则会定义此操作日志的审计类型及风险等级。

说明:如配置了策略条件中的“来源白名单”,则审计类型、风险等级对满足“来源白名单”的日志无效,该日志仅进行正常审计。

新增策略时,关联的IP对象、时间表、告警频次、来源白名单可通过【对象管理】进行配置。

审计日志查询

审计查询员可通过内置的检索条件组合查询预期日志。目前支持多达18种过滤条件,并支持反向过滤。