数据库审计系统和策略配置
数据库审计系统支持三权分立,包括系统管理员、策略配置员、审计查看员三个角色,不同角色功能权限不同。
系统配置
在使用数据库审计系统时,需要系统管理员完成资产配置、服务器配置、告警配置等。
资产配置主要包括:1、完成数据库配置;2、针对数据库部署Agent,采集数据库流量;3、针对web服务安装Agent三层关联插件,通过流量探针采集web应用流量。详见用户指南-资产管理。
策略规则配置
策略配置员可以通过规则配置、策略配置对命中策略的日志进行风险管理及预警。
创建规则
在【规则配置】列表页面,单击【创建规则】可选择具体创建的规则类型(包括口令攻击、访问规则、注入攻击、操作规则)。
创建策略
在【策略管理】列表页面,单击【新增】可创建新的策略。
其中数据库名、审计规则、IP对象、时间表、来源白名单为配置的策略条件。
审计类型、风险等级为对命中策略条件的日志的定义。如执行了某条数据库操作语句,命中了配置的策略条件,则会定义此操作日志的审计类型及风险等级。
说明:如配置了策略条件中的“来源白名单”,则审计类型、风险等级对满足“来源白名单”的日志无效,该日志仅进行正常审计。
新增策略时,关联的IP对象、时间表、告警频次、来源白名单可通过【对象管理】进行配置。
审计日志查询
审计查询员可通过内置的检索条件组合查询预期日志。目前支持多达18种过滤条件,并支持反向过滤。