数据库审计系统.pptxVIP

东软NetEye数据库审计系统PPT Copyright?2015NeusoftCorporation 数据库面临的风险及产品需求面临的风险产品需求完整的数据库审计对违规事件提示告警对故障原因定位分析数据库优化功能概述数据库访问审计审计记录统计报表异常告警DBA实时监控ftptelnetMS SQLOracleDB2SybaseMySQLInformaxWhoWhenWhereWhat审计策略设置审计数据数据库完整审计策略设置协议分析数据库管理员策略匹配网页告警 邮件告警 专家系统故障诊断专家数 据 库 健 康 体 检故障诊断专家操作记录FTP/Telnet业务失败SQL数据安全专家系统优化专家统计报表精准的协议与应用分析DPI 模式：应用分析准确率高到95%IP数据头IP数据内容源地址目的地址TDS、TNS\DRDA\MYSQL\L2-L4检测：网络层感知L7检测：应用层感知零风险部署操作界面展示我的导航IE窗口式设计3、策略 配置3.1进入审计与防火墙=》策略中心进行策略配置，点击添加策略。3.2在添加的策略下面添加规则。3.3设置delete（删除操作）为高风险。配置审计策略4、数据库审计 – 其他说明4.1、在规则中若如右图设置一条默认规则，代表对于数据库的所有访问都是记录的。若无审计信息就要看一下这里是否配置了规则。4.2、若无最新流量请查看数据库引擎是否启动，缓存策略是否改为了1条，所添加的策略是否应用到了数据库引擎。*缓存策略设置在通用配置=》采集器配置模块下。默认规则4.3对于策略，规则的解释在策略下添加规则有四种类型，若同一条策略下有多条规则；那么匹配的优先级为：黑名单=白名单=优先级无优先级若有多条无优先级的默认规则那匹配的顺序为从上往下，切默认规则可以上下调整顺序。黑名单（阻断，记录，具有优先级） 白名单（通过，不记录，具有优先级） 优先级（优先匹配，具有优先级）默认规则(无优先级)默认规则：可以调换，可以设置很多条；若有多条默认规则，在上者优先匹配。黑白名单优先级规则都是具有优先级的当一条策略中有多条具有优先级的规则的时候匹配顺序从上往下，命中则停止匹配。规则的优先级4.4全局参数配置对应策略配置下的目标表、表组两个概念；表组是多个表的集合,用于匹配SQL语句同时关联多张表的情况。存储过程是在数据库端用于完成特定操作的SQL语句集，在调用存储过程的时候是使用的存储过程名，这里要填写使用的就是存储过程名。数据库列就是数据库表的列名数据库Schema集：对于Oracle可理解为多张表的集合，对于Mysql数据库就是数据库名，对于Sqlserver数据库Schema就是架构。全局参数配置4.5规则配置说明通过对数据库访问的各种特征如SQL来源IP、SQL访问的目标数据库表等，来组合设置访问匹配规则；达到对数据库细粒度的访问审计记录告警或进行访问控制。增、删、改、查、特权操作、登录、登出。一条对数据库的SQL操作，同时（操作）影响数据库的行数。对数据库进行的除增删改查之外的其他一些操作的匹配，如授权操作grant.规则配置说明用于匹配用户登录、退出成功与失败。与系统设备和敏感数据扫描模块下的敏感数据发现结合使用。执行失败的SQL语句的匹配审计。关键字（词）在防火墙模式下对某些语句进行替换，格式为：原词/替换词多个替换词之间使用回车进行分割规则配置说明续1、数据库防火墙模块提供屏蔽、访问控制、阻断功能。2、设备连接方式NetEye数据安全平台应用服务器DB服务器2.1防火墙模式将设备串接在网络中在数据库服务器之前，设备默认第一个、第二个网口为防火墙接口。2.2在防火墙模式下，WEB页面管理IP使用fire1的IP地址。3、给fire1配置IP地址。登录系统管理员进入系统配置=系统配置=接口配置=访问控制防火墙多路设置。编辑给fire1填写一个IP地址，此IP地址与eth3管理口IP不可在同一个网段。数据库防火墙模块4、添加数据库加固点，通用配置==》数据库加固点。添加加固点后添加审计与防火墙功能。5、添加规则防火墙策略规则（同审计策略规则）添加一条策略对查询行为进行阻断。数据库防火墙模块续一6、执行一条select语句查看审计日志信息可以看到此条对数据库发起的select语句被成阻断了。还有更多阻断策略组合请参照数据库审计策略规则进行设置。数据库防火墙模块续二7、其它注意事项先用两台PC分别接设备的eth0、eth1进行模拟测试，若网络能通并可以正常审计阻断则把设备接入实际网络中。接入实际网络环境，进行测试；观察网络是否通畅，在检索中查看最新流量是否有数据。硬件具有Bypass功能，若设备发生故障，如断电等情况，会自动进入全通状态。fire1的IP与eth3也就是默认WEB管理IP不能在同一个网段。