腾讯云数据库审计规则配置

以策略配置员身份登录数据库审计系统,可选择系统内置的审计规则、基于规则配置告警策略及对策略中关联的IP对象、时间表、告警频次、来源白名单等全局对象进行管理。
 
规则配置
支持四种类型的规则配置:访问规则,口令攻击、注入攻击、操作规则。
 
默认配置了Oracle、SQL Server等规则组,配置了常用的高危操作规则。
 
每个默认规则描述行详细介绍了出现这个规则的原因和应对措施。
 
对于实际场景,可以基于默认规则,复制一份出来二次修改,避免了从零配置的麻烦。

四种类型的配置说明如下:
 
口令攻击:支持基于IP、用户、IP+用户三种维度失败登录次数和频率的统计告警。通常用于检查暴力破解的场景。
 
访问规则:主要设定访问来源,包括数据库用户、客户端工具、MAC地址、操作系统用户、主机名等。这些是与的关系,即设定后必须同时满足。
 
注入攻击:主要基于特征值检查SQL注入、XSS注入等典型的数据库攻击。检测条件包括SQL注释、OR关键字、UNION关键字、常量表达式等,通常配置的时候将多个条件组合在一起。注入攻击还可以根据风险函数来判断。
 
操作规则: 操作规则是最常用的,包括敏感表字段等设置,支持操作类型、关联表个数、返回行数、执行时长、报文关键字等过滤条件。支持结果集的审计设置。通过这些条件的设置,可以筛选出高危的访问语句。

策略管理
 
策略管理用于关联数据库列表和规则列表,支持设置风险等级、审计类型等。支持对策略的增删改查,设置完立即生效。
 
其中数据库名、审计规则、IP对象、时间表、来源白名单为配置的策略条件。
 
审计类型、风险等级为对命中策略条件的日志的定义。如执行了某条数据库操作语句,命中了配置的策略条件,则会定义此操作日志的审计类型及风险等级。如设置审计类型为[告警审计],则将通过邮件、syslog、kafka进行告警通知。
 
命中策略的日志,审计查看员可在【查询分析-风险查询】中查看。
 
新增策略时,关联的IP对象、时间表、告警频次、来源白名单可通过【对象管理】及进行配置。

对象管理
 
对象管理包括对IP对象、时间表、告警频次、来源白名单等的管理。在配置策略时,须关联【对象管理】中配置的对象。
 
说明:策略在启用状态时,关联的对象无法进行删除。