安恒明御数据库审计产品配置指南.pptx

安恒明御数据库审计产品配置指南技术创新，变革未来安恒数据库审计配置培训典型案例配置培训主要内容一、设备基本配置二、基本审计配置三、风险告警通知配置四、审计数据查看及分析五、其他常规配置六、排错平台使用一、设备基本配置1、硬件端口介绍2、网络配置a、串口线配置IPb、网线直连配置IP3、设备角色配置数据中心+探测器、数据中心、探测器三种角色配置4、分布式部署配置5、license导入1、硬件面板端口介绍电源指示灯HDD:硬盘指示灯流量采集口(流量镜像口）设备管理端口(Admin)出厂默认IP:00Console口：通用串口管理端口2、设备网络配置方法一：串口线登陆配置Step 1 ：使用Console口登录使用串口线和USB转接线DB的console口和PC的USB口。PC上超级终端设置：波特率：115200数据位：8奇偶校验：无停止位：1流量控制：无Step 2：使用用户名/密码admin/Dbapp@2013登录Step 3 ：选择1选项，按照提示依次输入IP地址、子网掩码、网关、DNS后，根据提示输入yes确认配置，然后系统自动重启网卡完成修改。方法二：通过直连管理口登陆配置Step 1 ：用一根网线直连admin口使用5类线将笔记本直连到设备的admin口PC上网卡设置设置：IP地址：01子网掩码：Step 2：使用用户名/密码 admin/Dbapp@2013Step 3：接下来同串口线配置3、设备角色配置Step 1 ：使用串口或者管理口进入串口程序，选择8(设备身份配置)，进入如右图所示界面：Step 2：选择1可以把设备的身份改为纯数据中心的角色。选择2可以把设备身份改为探测器角色。选择3可以把设备身份改为数据兼探测器角色。Step 3 ：以把身份配置数据中心+探测器为例1、选择3，代表要将设备身份更改为：数据中心+探测器2、输入yes，进行确认3、输入本设备管理口的IP地址4、分布式部署配置数据中心Step 1 ：先将一台设备配置好为数据中心。Step 2 ：然后修改其他的设备身份为探测器角色，同时探测器的数据中心IP修改为数据中心管理口的IP地址。Step 3 ：保证数据中心和探测器之间网络是互通的。Step 4 : 在数据中心上添加对应的探测器，如下图所示：注意：填写对应探测器的管理口IP即可5、License导入二、基本审计配置1、添加探测器2、添加业务主机群3、开启审计引擎、挂载采集端口4、配置被审计服务器5、配置流量镜像6、部分数据库特殊配置 SQLserver 用户名审计配置1、添加探测器登陆系统，在探测器配置界面，如下图所示：探测器IP必填1、发送最大速率只针对分布式部署有效2、发送主目录和发送时间段一般不建议修改2、添加业务主机群选择相应的探测器，在业务主机群界面，单击“添加”，如下图所示：1、业务主机群类型一旦选择之后不能修改3、开启审计引擎、挂载采集端口配置完业务主机群类型之后，要选择开启审计引擎，同时需要挂载采集端口，如下图所示：点击保存即可4、配置被审计服务器选择对应的业务主机群，点击“新增物理端口”按钮，如下图所示：被审计数据库细信息双向审计：指请求和返回都审计配置完成物理端口后，选择将要挂载的物理端口，如下图所示：至此，基本的审计就配置完成！点击挂载5、配置流量镜像以cisco为例配置镜像，其他交换机可能稍微会有些不一样，具体请查看各个品牌交换机的配置手册。配置流量镜像方向配置镜像源端口配置镜像目的端口配置服务器端口流量镜像一般注意以下几点：1、只需要把被审计服务器的物理端口(对外提供服务)的流量镜像到我们审计设备即可，一般不建议把整个交换机的流量都镜像过来。2、镜像要主要是请求和返回，不能镜像错方向，一般建议选择both3、如果是虚拟化环境，如果DB和web之间的通信都是在虚拟机内部完成的，这种是不支持的！4、配置交换机镜像一般建议由客户方网管进行配置，避免因为对客户网络不熟悉导致的网络故障。6、其他数据库审计特殊配置由于SQL Server 2005 和2008 会话连接过程都是加密，针对用户名、客户端工具名、操作系统主机名等是没法通过旁路进行解密审计，目前针对这类需求研发，暂时通过在数据库审计上配置SQL Server数据库账号和密码，获取目标数据库的session信息，以达到对用户名、客户端工具名等的审计。Step 1: 在SQL server 2005主机配置中增加用户名审计配置。三、风险告警通知配置1、全局审计策略配置 全审计和满足条件审计2、普通、特征规则配置 普通规则(高、中、低、关注、不审计)及特征规则3、告警通知策略配置 Syslog、Email、SNMP、短信、ftp告警通知配置4、规则白名单配置5、其他策略相关配置 源IP过滤、指定源IP审计、报文过滤1、全