360数据库审计快速安装手册.docVIP

快速安装操作手册 PAGE 14 安全源于管理 管理驱动安全 网神SecFox安全审计系统快速安装操作手册 安装设备 设备监听口连接到交换机的镜像口上 设备的管理口连接到网络中。 访问设备 设备初始信息： IP： MASK： 用户名：sysadmin/secadmin/auditadmin 密 码：！1fw@2soc#3vpn 设备访问方式： 网络中访问设备的地址，在IE地址栏中输入：https://IP，出现登录界面即表示配置成功 通过ssh客户端登录系统，修改为网络中可访问的地址信息 修改管理IP 通过网线连接设备管理口，用sysadmin帐号登录设备基本配置管理口配置，根据客户现场提供的管理IP进行相关配置，点击提交即可： 添加审计对象（需要监控的服务器） 跟客户沟通了解现场所需监控服务器IP、详细版本及端口号等信息；之后用secadmin帐号登录系统配置对应审计对象 对象设置审计对象添加： 修改审计控制 设备出厂默认是按规则审计，设备上架调试阶段需先修改为全审计：用secadmin帐号登录系统全局参数设置审计控制选择全部审计点击保存即可： 全部审计：所有访问数据库服务器的数据均审计入库，在前台可以查看所有操作的审计记录 按规则审计：只审计匹配规则的访问数据库服务器信息，未匹配规则的数据不审计入库，前台查询记录中只有匹配规则的数据 查看审计数据 通过以上步骤，基本配置已完成，可以通过auditadmin账号登录系统查看当前的审计数据；登陆auditadmin审计管理日常行为查询，点击查询后即可看到审计数据了： 规则配置 现场根据客户需求进行相关风险规则设置，了解客户应用系统厂商，与客户沟通，需监控哪些关键表，字段信息和重点操作； 7.1 规则实例解析 配置流程 ◆ 实例解析 假定需要监控的数据库服务器上数据库中： 涉及的表有：staff_dict（医院人员表）、outp_bill_item（门诊费用记录表）； 上述表中涉及的字段有：name（医生姓名）、ordered_by_doctor（开单医生）、item_name（项目名称）、item_price（项目价格）； 也就是但一条语句中同时满足这几张表和字段时进行告警。 需求如下： 1）对上述2张表和4个字段，应用服务器（3）访问的可以不审计，监控select查询操作； 2）对上述2张表和4个字段，-00网段客户端访问的告警，风险级别为中风险，监控select查询操作； 3）对上述2张表和4个字段，如果是plsql工具操作的告警，风险级别为高风险，监控select查询操作； 4）针对所有表、字段，监控delete、drop、truncate删除操作。Delete操作风险级别为低风险，drop和truncate操作风险级别为高风险。 根据上述的需求，接下来配置规则（以下配置均在secadmin帐号下完成）： 7.1.1 审计对象别名配置 点击“全局参数配置”-“审计对象别名”，打开“审计对象别名”配置界面，点击“添加”，对敏感表、字段设置一个别名，系统可以将表、字段和关键字来配置别名，设置关键字的目的是因为数据库语句中有些英文字符既不是表，也不是字段，这个时候如果要设置别名，就可以通过关键字来定义。 7.1.2 访问者别名配置 点击“全局参数配置”-“访问者别名”，打开“访问者别名”配置界面，访问者别名设置，将IP地址翻译成中文，方便在审计结果中直观的看到是谁操作了数据库。 7.1.3 进程配置 点击“访问者信息配置”-“进程配置”，打开“进程配置”界面，添加进程集合，进程集合名可以自定义，这里配置为“第三方工具”，然后点“客户端进程”的下拉选项，选择“plsqldev.exe”，最后点“添加”按钮。一个集合中可以添加多个进程。 7.1.4 IP监控配置 点击“访问者信息配置”-“IP监控”，打开“IP监控”配置界面， 先添加应用服务器IP，选择“来访客户IP”，输入应用服务器的IP地址“3”，点“添加”，再点“保存” 继续添加上面需求中提到的IP网段，-00，类型选择“来访客户网段”，把起始IP和终止IP输入后，点击添加，保存即可。 7.1.5 子对象配置 点击“对象配置”-“子对象”，打开“子对象”配置界面， 根据需求中提到的2张表和4个字段，同时满足时告警，他们之间是与（）的关系，可以在子对象中进行设置。如下图所示，多张表或字段用“”符合隔开，点击保存即可, 7.1.6 规则配置 点击“规则配置”-“规则管理”，打开“规则管理”界面， 针对上述需求： 1）对上述2张表和4个字段，应用服务器（00）访问的可以不审计，监控select查询操作 如