H3CSecPathD2000-G[AK][G510][V][C]系列数据库审计系统
Web配置指导
本文档中的信息可能变动,恕不另行通知。
目录
企业机构的信息化程度越高,企业对信息系统的依赖就越强烈,而后台的数据库是信息化系统的心脏,数据库中存放着大量企业的重要信息,例如:财务信息、客户信息、合同等。数据库是企业的核心资产,是最有价值的部分,因此也引起了不少黑客的觊觎。
对信息资产的威胁主要分为两类:一类是破坏,将数据篡改、删除、损坏;另一类是数据泄漏,对机密信息的窃取。
H3CSecPath数据库审计系统利用更合理的网络和信息安全技术手段,实现对数据库操作行为审计、深入分析,监测并识别风险事件,及时告警并对其取证保留现场,是多功能为一体的全方位的数据库安全审计系统。
系统支持同时审计多种不同的数据库,具有灵活性和广泛的适用性。
图1-1典型部署图
系统分为五大模块分别是:监控中心、审计中心、策略中心、报表中心及系统管理。五大模块功能各有侧重点,相互作用,使系统具备了以下功能,帮助系统管理员解决实际问题。
(1)系统实时监控
不仅对自身性能(CPU使用率、内存使用率和硬盘使用率)进行状态监控,还对信息系统数据库产生的安全事件进行24小时监控,并以统计图表的形式展示,让管理员一目了然。
(2)事前预防
准确的定位各种风险事件行为,检测到威胁时可根据用户需求进行告警,将业务系统的风险事件防范工作,由被动式的事后分析,提升到主动式全面预防的水平。
(3)有效、准确的识别规则
任何违反审计规则的操作都会被检测,做到准确、有效地识别具有风险的行为。
(4)事中现场取证
通过实时监测并智能地分析、还原各种数据库操作,解析数据库操作,还原SQL操作语句;跟踪数据库访问过程中的所有细节。提供数据库操作行为、应用服务器行为、终端录像实现事后审计,为追踪、惩罚犯罪份子提供强有力的证据。
(5)报表管理
(6)审计日志管理
保存大量数据库审计日志的同时,还支持对早期的数据进行归档。当需要时可以通过数据回档的形式调阅早期的数据。解决了海量数据的有效存取的问题,为用户提供更全、更有效的数据。
系统将系统角色划分为四类:系统管理员、系统审计员、系统安全员、系统监察员。每类角色对系统拥有不同的访问、控制权限。具体如下:
(1)系统管理员(admin)
系统默认用户名及密码为:admin/admin。对系统的主要操作包括:
·个人信息管理。
·查看系统运行状态。
·系统运行参数配置。
·此外无权操作其它角色功能。
若首个版本为E6203之前,默认账号密码为:sys/sys。从低版本升级到E6203及之后版本,保持升级前的密码不变(即:若升级前为默认密码,则升级后为admin/sys;若升级前修改过密码,则升级后为admin/升级前的用户密码)。
若首个版本为E6203及之后版本,默认账号密码为admin/admin。
(2)系统审计员(audit)
系统默认用户名及密码为:audit/audit。对系统的主要操作包括:
·查看其他角色的操作日志信息。
·无权操作其它角色功能。
(3)系统安全员(sec)
系统默认用户名及密码为:sec/sec。对系统的主要操作包括:
·与业务有关的操作及信息查看。
(4)系统监察员(mon)
系统默认用户名及密码为:mon/mon。对系统的主要操作包括:
表1-1各类角色权限分配
一级菜单
二级菜单
admin
audit
sec
mon
监控中心
运行状态
√
-
安全态势
流量钻取
统方事件
事件查看
入侵事件
流量探针
监察视图
审计中心
语句查询
URL审计
行为审计
SQL模板
因子监测
网络审计
对比分析
报表中心
报表任务
事件报表
统方报告
报表查看
策略中心
监听配置
事件定义
对象管理
客户端信息
敏感信息
事件响应
三层关联
入侵检测规则
交换机信息
系统管理
网络配置
用户管理
系统服务
日志响应
数据归档
调试工具
配置管理
系统信息
管理主机
运行日志
操作日志
高级功能
数据支撑
admin、audit、sec、mon是系统超级用户,四个超级用户默认是不可以被删除。
各角色除了上表描述的权限外,还拥有对本组用户增删改查的权限。且admin就类似信息科人员,协助纪检科定义准确的统方规则。所以分配他们对象定义及事件定义的权限。
图1-3工具下载
图1-4H3C数据库审计系统主界面
上图是系统界面的分布图,每个区分别是:
1、产品名称;2、系统提示栏;3、账户信息;4、左栏菜单;5、功能操作区。
下面逐个介绍各个区的主要功能。
此处放置的是产品名称。
图1-5系统提示栏
当统计数量超过99条时,系统将显示“99+”,鼠标移动到在数值上可以看到7天内事件的等级和发生统计结果。如下图所示
图1-6悬浮提示
图1-7账户信息
(1)修改密码
点击<修改密码>后在弹出的[修改密码]对话框中输入旧密码重设密码,注意,新密码不能与旧密码相同,如下图所示:
图1-8修改密码
(2)个人设置
点击<个人设置>修改个人基本信息,具体内容如下图所示:
图1-9修改个人信息
(3)锁定
图1-10锁定状态
图1-11左栏菜单
是系统主要工作区域,展示系统各种信息,及各项参数配置。
建议使用火狐浏览器,以达最佳用户体验。
监控中心主要是监控系统状态。对系统运行状态,最近发生的可疑的事件进行监控。帮助管理员及时掌握系统的状态。如下图所示:
图2-1监控中心
图2-2运行状态
下面逐个介绍各个部分:
图2-3重要消息弹窗
根据权限的不同,将提示不同的消息提示类型。此功能出现于所有界面。
图2-6设备状态
·监听服务:显示业务系统监听服务是否正常。
·健康度:显示系统运行情况、健康程度。
·今日数据库审计数据:按小时统计每日零点开始的数据库审计数,鼠标停留可显示该小时的数据库审计数和昨日同时段的数据库审计数。
·今日WEB审计数据:按小时统计每日零点开始的WEB审计数,鼠标停留可显示该小时的WEB审计数和昨日同时段的WEB审计数。
·今日告警数据库事件:显示系统每日产生的高可疑、中可疑、低可疑数据库事件的统计,鼠标停留可显示具体明细数。
·今日告警WEB事件:显示系统每日产生的高可疑、中可疑、低可疑WEB事件的统计,鼠标停留可显示具体明细数。
·数据库会话统计:按小时统计每日零点开始的数据库会话数,鼠标停留可显示该小时的数据库新建会话数和该小时的数据库活跃会话数。
图2-7系统状态
图2-8具体数值
D2000-V、D2000-C系列虚拟数据库审系统不支持此功能。
展示与物理设备面板一一对应的网卡模拟展示图,根据实际连线情况实时展示网卡当前接线状态,并以水量方式展示网卡当前负载。如图如下图所示:
图2-9网卡信息
展示硬盘及固态盘的I/O利用率。如下图所示:
图2-10硬盘及固态盘I/O
设备型号为D2035-G和D2055-G,设备支持RAID1模式,RAID1通过磁盘数据镜像实现数据冗余,在成对的独立磁盘上产生互为备份的数据。如下图所示
图2-11RAID模式
为硬盘提供数据库文件、交换文件、备份文件、数据库缓存、索引文件等丰富的文件存储状态展示,显示空间使用情况、健康状态,并智能的预计剩余硬盘空间可用的天数供管理员参考。如下图所示:
图2-12存储状态
点击右侧图例按钮可设置该类文件存储状态进行隐藏或显示,如下图所示:
图2-13隐藏选项
将鼠标放置在条形图上可以查看已用和剩余空间量,如下图所示:
图2-14查看容量情况
·预计可用天数:根据系统运行情况,分析平均每天审计数据占用硬盘空间的百分比,通过与剩余空间比较,预算出系统硬盘空间的可用天数。
·健康状态:当硬盘状态正常时,健康状态显示为正常,当硬盘状态为异常时,健康状况显示为异常。
图2-15监听网卡流量
图2-17安全态势界面
3、刚生成的事件大约5分钟后才会被计算入最近数据库事件数中。
图2-19最近事件数
图2-20事件追踪
图2-21客户端信息
此处所展示信息内容,依据[策略中心/客户端信息]中配置。
图2-22服务端信息
·语句翻译:对触发规则的语句进行人性化的智能翻译,用户不必精通数据库也可以很容易看懂该事件的操作内容。如下图所示:
图2-23语句翻译
语句翻译仅针对关键词进行翻译,目前不支持自定义翻译规则
·查看返回值:点击<查看返回值>,可以查看操作后系统返回的详细信息。设备可自动将敏感信息进行掩码,用“*”替换其内容。
系统自动对敏感信息进行掩码,用“*”替换其内容。
图2-25查看返回值
·设置为统方:将该事件设置为统方。该项设置只对本事件生效,未来发生的同类事件不会被识别为统方事件。如下图所示:
图2-26确认
·设置为安全:将该事件设置为安全。该项设置只对本事件生效,未来发生同样的事件并不会被识别为安全事件。如下图所示:
图2-27确认
图2-28添加到规则
·设置此类语句为统方:在“事件追踪”页面中,点击<设置此类语句为统方>在弹出[确认]的对话框中点击<确定>,系统将会把与同类事件(相同SQL模板)设置为统方事件。
图2-29确认
·设置此类语句为安全:在“事件追踪”页面中,点击<设置此类语句为安全>在弹出[确认]的对话框中点击<确定>,将会新增一条规则——把与该事件语句结构相同的语句设置为安全事件。
图2-30确认
·在点击<设置此类事件为安全>后,可以选择“是否将当前事件日期的最近90天内,同类事件的处理状态标记为安全状态”:选择<确定>后,在“事件查看”页面,会将最近前90天内的同类事件(相同SQL模板)的处理状态设置为“安全”。
图2-31确认
在此页面可以查看到与该事件关联的其它信息。如该会话中的其它数据库操作,终端录屏,Telnet外连事件,FTP事件,URL关联。
并不是每个事件的关联信息都有FTP、Telnet、终端录像这些关联信息。
·操作信息:展示与该事件关联的数据库操作信息,如下图所示:
图2-32操作信息
·终端录像:当发生风险事件时,系统向用户提供了事发前后5分钟,即共10分钟的终端录像。点击<下载>,可以将视频下载到本地进行播放。
图2-33终端录像
·Telnet操作:系统审计到了与事件关联的Telnet操作,用户可以直接在界面中回放。
图2-34Telnet操作
单击某记录,即可查看:
图2-35Telnet会话播放
·FTP事件
图2-36FTP事件
单击记录可以查看播放:
图2-37FTP会话播放
图2-38最近审计数据统计
图中纵坐标的单位是k(条)即千(条),M(条)即百万(条)
将鼠标放在统计图上可以查看具体的数量,如下图所示:
图2-39具体数据
通过单击图表右侧的图例可以显示或隐藏该项数据的统计图;
当某项统计结果与其它两项有很大的差距导致在图上无法识别,除了将鼠标放置在图标上查看外,还可以通过将另外两项数据都隐藏掉来查看,如下图所示:
图2-40隐藏选项
由于“明细”统计结果数量与其它两项结果差距很大,隐藏了“明细”这类后可以清楚的看到其它两类的统计结果。
图2-41最近威胁事件数
图2-42最近新增因子
实时监控系统当前在线用户数量、并发会话数量,如下图所示:
图2-43在线用户数
以点-线的形式描述当前服务器与客户端的连接关系,由客户端指向服务端,如下图所示:
图2-44当前会话数
图表左侧是服务端和客户端的图例,右侧是它们之间的连接关系,图中的节点表示不同的客户端或服务器,节点之间的连线表示会话连接。
·隐藏或显示某节点
点击图例中的各点可以使该点在右侧连接关系图中隐藏或显示,如下图所示是隐藏了服务端192.168.100.38后,其它服务端与所有客户端的连接关系。
图2-45隐藏数据
·查看节点信息
鼠标停留在连接关系图某节点上会显示该节点的IP地址。
图2-46具体数据
·会话信息
鼠标停留在某连线上,系统会展示该会话连接的双方。如下图所示:
图2-47会话信息
拖拽连接关系图中的节点可移动该节点而不影响原有的连接关系。
图2-48最近流量
右侧图例及各项的含义:
·PQ:最近已处理的业务条数。
·SQ:最近已保存到数据库的业务条数。
·PS:最近已处理的会话业务条数。
·SS:最近已保存到数据库的会话业务条数。
·PA:最近触发的事件条数。
·SA:最近已保存到数据库的事件条数。
·在线会话信息。
·告警事件类型统计。
·告警事件级别统计。
·数据库用户名统计。
·应用程序名统计。
·客户端计算机名统计。
·操作方式统计。
·执行时长大于20秒。
除“在线会话信息”外,报表若不希望统计信息在此页面展示,用户可以到[报表中心/报表任务]中修改报表任务,并将发送到流量钻取项前的钩去掉。
此外用户也可以将流量周期性统计报表发送到[监控中心/流量钻取]中展示,但要求报表对象列表中的统计对象最多只能添加两个同类型对象。具体操作可以到[报表任务]“新建流量周期性统计报表”中查阅。
点击[监控中心/流量钻取],进入界面:
图2-49流量钻取
左侧是统计表类型,右侧是统计表的内容,每个统计表都分两个模块:统计图表和详细信息表。在统计表中会有以下操作:
在线会话信息统计的是当天凌晨点开始的24小时内会话信息,以点-线的形式描述当前服务器与客户端的连接关系。并增加了详细的会话列表。如下图所示:
图2-50在线会话信息
此处功能与运行状态中的[当前会话数]有点区别,后者具有实时性,并以一定频率实时刷新。
(1)在线会话信息统计
图表的操作方式与2.3安全态势中的[当前会话数]一致,在此不再赘述。
(2)会话列表
点击<显示更多>可以查看更多信息。
对触发告警的事件类型分类统计,统计范围包括今天、最近一周、最近一月三种。如下图所示:
图2-51告警事件类型统计
(1)统计图表
·今天:今天凌晨至24点统计情况。
·最近一周:最近七天的统计情况。
·最近一月:最近30天的统计情况。
(2)详细信息
统计表中点击某个统计项,下图将会展示该项的详细信息,如上图中:展示的是“今天”告警事件的类型统计,点击直方图“delete”,下方展示今天该类事件在“今天”某时发生的具体事件。
图2-52告警事件类型详细信息
对已发生的事件按告警级别进行统计。界面如下图所示:
图2-53告警事件级别统计
具体操作方式与告警事件类型统计相似。这里不再赘述。
统计各数据库用户及其访问数据库的次数。
图2-54数据库用户名统计
图2-55应用程序名统计
图2-56客户端计算机名统计
对数据库操作方式进行统计,用户可通过查看统计结果初步判断是否有异常操作。
图2-57操作方式统计
图2-58执行时长大于20秒
1.流量钻取的数据范围是针对整个审计系统的数据进行统计;
3.会话都是代表未结束的会话,即在线会话;
统方事件默认基于中、高可疑事件的基础上要满足至少两个不同的敏感信息的配置,即可触发统方事件。
图2-59统方事件查看
图2-60事件查看/事件追踪页面
图2-61统方事件页面
·设置为统方:通过综合分析,认为证据充足,将该事件人工判断为统方事件。
·设置为疑似统方:通过综合分析,认为该事件可能是统方事件。
·设置为非统方:经分析,认为该事件不是统方事件。
·设置为合规统方:经分析,认为该事件是合规统方事件。
·设置此类语句为安全:经分析,认为该类事件是安全事件。
通过配置[监听配置]页面中业务系统的返回值配置,可在统方事件中展示语句的返回值信息
图2-62查看返回值
(1)导出选中
图2-63导出记录设置
·导出文件格式设置:设置导出文件的格式
·选择导出时,如果没有弹出框可能是浏览器阻止了弹出框。
提供可选加密功能,用户可根据需要自行选择是否加密,点击确定按钮后,在弹出框中可以选择直接打开或下载,如下图所示:
图2-64下载加密选择
图2-65未设置压缩密码
图2-66已设置压缩密码
在系统页面使用导出、下载等功能前,请先对浏览器设置允许页面弹出窗口,否则可能因弹窗被浏览器阻止,从而导致导出、下载等功能失败。
(2)导出全部
用户可将查询结果全部导出,点击<导出全部>按钮,选择导出项与导出文件格式后<确定>,即可导出全部。
(3)生成统方报告
图2-67统方报告
·事件描述:使用通俗易懂的语言文字对事件进行概述。
·原始数据:记录该事件原始操作语句数据。
(4)锁定
统方事件提供永久保存功能。如某事件需长期保存,勾选该事件,点击“锁定”按钮,提示是否锁定,确认后,该事件被锁定,系统不会自动删除该事件。
图2-68锁定
(5)解锁
如若锁定的某事件无需长期保存,勾选该事件,点击“解锁”按钮,提示是否解锁,确认后,该事件被解锁,系统到期会自动删除该事件。
图2-69解锁
图2-70统方事件统计
图2-71打印统方汇总表
点击左栏菜单中的[监控中心/事件查看],打开的事件查看界面如下图所示:
图2-72事件查看
在检索列表右侧点击事件追踪,可以在新窗口中查看事件更详细的信息及调整识别规则。如下图所示:
图2-73事件追踪
(1)查看详细的操作
(2)调整识别规则
图2-75展示
·查看返回值
[事件查看/事件追踪]提供查看返回值功能,可通过点击<查看返回值>按钮,查看返回值信息。
图2-76查看返回值
·设置为统方
将该事件设置为统方。该项设置只对本事件生效,未来发生同类的事件不会被识别为统方事件。如下图所示:
图2-77确认
·设为安全
认为系统识别不准确,该事件是安全的,点击<设置为安全>后,在弹出[确认]框中点击<确定>将该事件设置为安全事件。
图2-78设为安全
若同类语句中没有识别的语句,在此处设置为安全将无效。
·添加到规则
点击<添加到规则>后,用户在弹出[添加到规则]框中根据该事件的内容,设置规则(设置成功后可在[策略中心/事件定义]的[数据库应用规则]中查看、修改此规则)。如下图所示:
图2-79添加到规则
·规则状态:设置规则的是否启用,停用即此规则不生效。
·风险级别:设置事件的风险等级。
·规则动作:设置为记录才会产生事件,若设为丢弃,则是过滤该事件,即过滤规则。
·设置此类语句为统方
通过人为分析认为该事件为统方事件,可在“事件追踪”页面中,将其同类事件(相同SQL模板)设置为统方事件。点击<设置此类语句为统方>在弹出[确认]的对话框中点击<确定>。如下图所示:
图2-80确认
·设置此类语句为安全
将此类语句为安全:在“事件追踪”页面中,点击<设置此类语句为安全>在弹出[确认]的对话框中点击<确定>,将会新增一条规则,把同类事件(SQL模板相同)设置为安全事件。
图2-81确认
·在选择<此类语句设置为安全>后,可以选择“是否将当前事件日期的最近90天内,同类事件的处理状态标记为安全状态”,选择<确定>后,系统会将最近前90天内,同类事件(相同的SQL模版)的处理状态设置为“安全”。
图2-82导出记录设置
图2-83下载加密选择
图2-84未设置压缩密码
图2-85已设置压缩密码
用户实际操作时,可根据目前的检索条件,筛选事件内容,获得查询结果,点击导出按钮将查询结果导出成XML、CSV、EXCEL文件。隐含要约:导出的文件不超过1000条事件。
如某事件需长期保存,勾选该事件,点击<锁定>按钮,提示是否锁定,确认后,该事件被锁定,系统不会自动删除该事件。
图2-86锁定
WEB事件暂无锁定功能。
如若锁定的某事件无需长期保存,勾选该事件,点击<解锁>按钮,提示是否解锁,确认后,该事件被解锁,系统到期会自动删除该事件。
图2-87解锁
选择一条或多条事件,点击<设置为已读>后确定,将把选中的事件状态设置为已读。
图2-88设置为已读
点击<全部设置为已读>后确定,将把所查询的所有的事件状态设置为已读。
图2-89全部设置为已读
点击左栏菜单中的[监控中心/入侵事件],进入入侵事件界面,如下图所示:
图2-90入侵事件
图2-91关联证据
图2-92规则详情
·此证据设置为非安全:在展开的规则详情页面中,点击<此证据设置为非安全>在弹出[确定]的对话框中点击<确定>,将会把该证据设置为非安全事件。
图2-93此证据设置为非安全
·此证据设置为安全:在展开的规则详情页面中,点击<此证据设置为安全>在弹出[确定]的对话框中点击<确定>,将会把该证据设置为安全事件。
图2-94此证据设置为安全
·停用此规则:将触发的规则设置停用(状态可在入侵检测规则页面查看),未来不会触发该规则,如下图所示:
图2-95停用此规则
在此页面可以查看到与该证据关联的其它信息,如相同发起IP、相同目标IP、相同规则、同类证据,点击关联证据列表中的某条证据的<查看>按钮,即可跳转到该证据详情页面,以便用户审核分析。如下图所示:
图2-96关联证据其它信息
当勾选关联证据页面的[七天数据]时系统将把此证据最近7天的关联证据展示,不勾选则展示此证据当天关联数据,默认不勾选。
图2-97导出记录
图2-98下载加密选择
图2-99未设置压缩密码
图2-100已设置压缩密码
导出全部按钮同导出选中按钮。
左栏点击[监控中心/监察视图],右栏的操作功能区打开监察视图界面。监察人员可通过监察视图,查看统方事件的统计情况,同时可根据账号为对象进行二次钻取,展示统方事件分布。
以日历为主线,向用户以日、周、月的形式向用户展示统方事件的统计情况。通过点击日历来查询某日的统方事件数量统计,同时在左侧栏下方展示当日、当周、当月的触发事件统计情况,以及当日涉及疑似统方账号前10的账号统计,如下图所示:
图2-101监察视图
·日
统计当日事件数和涉及疑似统方账号数,建立账号-统方事件数据统计图。点击直方图,下方将展示当日自凌晨起24小时里具体发生事件的数量,鼠标移动至某个节点,便可查看该账号在某时刻的统方事件详细统计。如下图所示:
图2-102日数据统计
如需查看此账号的统方事件,可点击该节点即可跳转至[统方事件],查看该账号统方事件的详细信息。
·周
将查询日当周的发生事件数据进行统计,统计当周统方事件数和涉及疑似统方账号数,建立账号-统方事件数据统计图。点击直方图,下方将展示自查询日当周里具体发生统方事件的情况,鼠标移动至某个节点,便可查看该账号某时的统方事件详细统计。如下图所示:
图2-103周数据统计
·月
将查询日当月的发生事件数据进行统计,统计当月统方事件数和涉及疑似统方账号数,建立账号-统方事件数据统计图。点击直方图,下方将展示自查询日当月里具体发生统方事件的数量,鼠标移动至某个节点,便可查看某时该账号的统方事件详细统计。如下图所示:
图2-104月数据统计
[监察视图]的统方事件查看与处方查询分析与[统方事件]中的功能和使用相同,此处不再赘述。
管理员可在流量探针页面统一管理流量探针,查看所有流量探针信息,并管理流量探针基本信息配置、指定端口/IP审计配置、版本升级、删除等。
点击左栏菜单栏[监控中心/流量探针],打开界面如下图所示:
图2-105流量探针
在WINDOWS或LINUX服务器上正确安装且配置流量探针后,需在系统的流量探针页面对该服务器的流量探针进行注册,系统才能正常接收并审计流量探针转发的流量。
图2-106注册流量探针
流量探针注册状态划分为:已注册探针、未注册探针。
已注册探针可分类为三种状态:正常、异常、离线。点击页面“已注册探针”的状态分类按钮,可在页面下方展示该类流量探针列表,如点击“全部”即可在下方以列表方式展示全部已注册流量探针信息。流量探针列表展示信息包括:探针名称、探针IP、探针版本、探针状态、流量、探针CPU占用、探针内存占用、监听网卡、服务器操作系统、备注等。同时,可根据探针名称、探针IP、服务器操作系统、关联业务系统等条件对流量探针进行查询。如下图所示:
图2-107已注册流量探针
探针状态说明:
·正常流量探针正常运行,未出现异常状况。
·离线:流量探针与数据库安全审计系统失去通讯超过两分钟,则系统判断为离线状态。若离线超过10分钟,将触发系统弹窗告警。
·异常:
a.系统超过1分钟未收到流量探针转发的流量,则认定为异常状态,连续10分钟无流量则会触发弹窗告警。
b.流量探针CPU使用率超过10%,则认定为异常状态,并触发弹窗告警。
c.流量探针内存使用率超过5%,则认定为异常状态,并触发弹窗告警。
点击页面“未注册探针”的<全部>按钮,可在下方以列表方式展示所有未注册流量探针信息。流量探针列表展示信息包括:探针名称、探针IP、探针版本、探针状态、流量、探针CPU占用、探针内存占用、监听网卡、服务器操作系统、备注等。同时,可根据探针IP对流量探针进行查询。
如下图所示:
图2-108未注册流量探针
图2-109修改探针配置
·探针名称
用于标识探针名称,为必填项。
·备注
·监听网卡
用于配置流量探针客户端需要转发流量的网卡,为必填项。
·关联业务系统
用于标识流量探针转发的数据源,关联业务系统,为选填项。
·指定端口/IP审计配置
流量探针支持转发流量过滤,可转发对指定端口/IP的流量。支持过滤内容包括端口、IP及IP网段信息,数据范围支持包含与不包含。设置包含后,仅在包含范围内的数据才会被转发。设置不包含后,在不包含范围内的数据不会被转发。如包含与不包含的配置范围重叠,不包含的优先级更高。
图2-110流量探针详情
图2-111升级确认框
图2-112全部升级确认框
流量探针页面不支持旧版本探针客户端(1.1.3版本之前)的连接和升级。
升级流量探针需要符合升级条件,即系统内置的流量探针安装包版本高于连接上系统的流量探针版本。
图2-113删除确认框
图2-114清空流量探针列表
如果在服务器上的探针未被卸载,且与数据库安全审计系统再次通讯成功后,则此探针会进入未注册探针列表。
展示系统审计到的SQL操作数据,URL信息,行为审计、SQL模板、因子监测等各类审计数据,供用户查询、深度分析的功能。主要包含以下功能模块:
图3-1审计中心
单击左栏菜单中[审计中心/语句查询],进入审计数据语句查看分析界面。
语句查询中分实时查询和历史查询。实时查询是对当天系统内审计数据进行查询分析,历史查询为对当天之前的审计数据进行查询分析。
输入查询条件即可对历史数据和实时数据进行详细的查询,可以用手动输入子网掩码的方式进行IP地址组查询。设备可自动将敏感信息进行掩码,用“*”替换其内容。如下图所示:
图3-2语句查询
对当天系统中任意一小时内的审计数据进行查询分析。如下图所示:
图3-3实时查询
基于性能问题,实时查询仅支持轻量级查询。该模块为实时数据,如果数据量太大,未做数据索引优化的情况下,会导致查询超时等错误,因此需限制查询范围,只能查询一个小时范围内的数据
图3-4提示语
图3-5自定义查询设置
在查询结果中右击某条记录,可以进行查看语句详细、查看SQL模板、URL关联、过滤类似语句、查看类似语句、设置SQL模板名、丢弃此类语句等操作,界面如下图所示:
图3-6查询结果处理
·查看语句详细
图3-7详细信息
·查看SQL模板
点击<查看SQL模板>后,页面会跳转到SQL模板页面,显示对应的SQL模板。
·URL关联
·过滤类似语句
在查询结果中过滤掉与该语句类似的语句。此类语句将不会在本次查询结果中出现。
·查看类似语句
点击后查询结果中只会剩下与该语句类似的语句,在某条记录上右击,并选择查看类似语句,如下图所示:
图3-8查看类似语句
系统将在查询结果中筛选,并只展示与该语句结构相似的记录,如下图所示:
图3-9查询结果
·设置SQL模板名
右击某条语句并点击<设置SQL模板名>,将会为该类语句设置SQL模板名,未来可用于检索等其它功能的扩展。
图3-10设置SQL模板名
·丢弃此类语句
点击<丢弃此类语句>将会生成规则,在之后的审计数据中发现结构相同的语句,则自动丢弃该类语句。
四种操作中,只有“丢弃此类语句”将会形成规则,对未来的数据产生影响。其它的3种操作仅仅对本次查询结果生效。
选中一条或多条记录后点击<导出选中>,进行导出设置后,在弹出密码设置框中,选择是否加密即可将查询结果导出。
点击<导出全部>,进行导出设置后,在弹出密码设置框中,选择是否加密,即可将所有查询结果导出。可通过勾选“导出项设置”的选项,选择要导出的信息,最多600条记录。导出文件格式包括,XML格式、CSV格式、PDF格式、HTML格式、EXCEL格式,默认为CSV格式。如下图所示:
图3-11实时查询记录导出设置
图3-12下载加密选择
图3-13未设置压缩密码
图3-14已设置压缩密码
图3-15自定义字段展示
图3-16历史查询
图3-17自定义查询设置
·排序方法
·查询方式
表示对操作内容的多关键词进行查询。
普通查询,在整个SQL会话中匹配出所有SQL关键词,只要关键词全部出现即可被检索,无论前后顺序或中间是否夹杂字符。
模糊查询,在整个SQL会话中匹配出所有SQL关键词个数的一半以上,即可被检索,关键词的先后顺序不影响结果。
明细查询,在单条SQL语句中匹配出所有SQL关键词,即可被检索,关键词的先后顺序不影响结果。
词组查询,在单条SQL语句中匹配出整个SQL关键词组,严格按照关键词的先后顺序,中间不带其它关键词。
流水号查询,根据语句明细流水号或会话流水号进行查询。当流水号作为查询条件时,其它查询条件无效。
例如,输入查询关键字“selectuser”,普通查询:查询结果中只需包含“select”和“user”即可,无论前后顺序或中间是否有夹杂字符;模糊查询:查询结果中只需包含“select”或“user”即可,可仅出现关键词的任意一个;明细查询:查询结果中,会话的单条SQL语句中包含“select”和“user”即可;词组查询:查询结果中必须包含“selectuser”,单词中间仅能出现空格,不能有其它字符。
·最大单条语句耗时:单条会话中语句的最大耗时时长。
·长耗时平均语句耗时:单条会话中长耗时平均语句耗时时长。
·长耗时语句总耗时:单条会话中长耗时语句总耗时时长。
·会话语句种类数:单条会话中SQL语句模板种类数量。
·会话重复程度:单条会话中语句总数除以语句类型数得到重复程度。
·会话语句数量:单条会话中SQL语句总数量。
·会话开始时段:查询选中时段内的语句。
图3-18自定义字段展示
·查看会话详细
图3-19查看会话详细
图3-20语句详细信息
·导出记录
在历史会话查询结果中,选择一条或多条记录后点击<导出选中>按钮,可通过勾选“导出项设置”的选项选择要导出的字段信息后可将查询结果导出。点击<导出全部>可将所有查询结果导出,最多可导出600条记录。导出文件格式包含XML格式、CSV格式、PDF格式、HTML格式、EXCEL格式,默认为CSV格式。如下图所示:
图3-21历史查询记录导出设置
图3-22下载加密选择
图3-23未设置压缩密码
图3-24已设置压缩密码
·会话回放
图3-25会话回放
图3-26查询结果分析
·分类统计
查询结果分析中点击<分类统计>按钮,可以查看不同条件类型统计的详细信息,如下图所示:
图3-27分类统计
·日期统计
图3-28日期统计
·性能统计
查询结果分析中点击<性能统计>按钮,可以查看分类统计的详细信息,如下图所示:
图3-29性能统计
图3-30URL审计
图3-31高级查询条件
图3-32详细信息
·SQL关联
图3-33SQL关联
这里仅介绍URL审计的查询展示界面,配置请查阅[策略中心/监听配置/中间件服务器配置/WEB协议服务器配置]中设置。如下图所示
图3-34WEB协议服务器配置
图3-35行为审计
图3-36Telnet审计
右击某记录任意字段,系统会出现观看会话播放提示,点击可回放该会话,如下图所示:
图3-37观看会话播放
点击后自动播放会话内容,可点击窗口下方的按钮对播放进行控制,如下图所示:
图3-38Telnet会话播放
在行为审计界面中点击
图3-39FTP审计
右击某记录任意字段,系统提示观看会话播放,点击可对该会话进行回放。
图3-40观看会话播放
图3-41FTP会话播放
若没有数据可播放,系统会在播放窗口中提示。
图3-42VNC审计
因VNC为加密通讯,目前不支持对VNC会话的回放功能。
系统对RDP协议(远程桌面协议)进行审计,并提供了查询界面,协助管理员进行分析工作。查询界面如下图所示:
图3-43RDP审计
图3-44SSH审计
对系统审计到的SQL语句进行分析,将句式相同、参数不同的数据库语句视为相同的语句类型,得到SQL模板。SQL模板中使用通配符“?”问号代表具体的语句参数。
SQL模板主要用于协助管理员对审计数据进行处理,将大量的、常见的语句设置为安全规则或过滤规则,大大增加了规则的准确度,优化系统识别事件规则库。
点击[审计中心/SQL模板],进入如下图所示界面:
图3-45SQL模板
下面介绍一些关于SQL模板的管理:
系统将模板分为以下几种数据分析:
·规则名称:该模板触发的规则名,及对应的触发次数。
·状态:分为安全、丢弃、确认、未确认、统方。
·总记录数:该模板在设备上线后发生的所有记录总数。
·总告警数:该模板在设备上线后发生的所有告警总数。
·上次告警记录数:该模板在上个工作日发生时触发的告警记录数。
·别名:可对该SQL模板设置别名,方便记录查找。
系统将模板状态主要分为以下几种:
·设置为安全:表示此类语句以后被定义为安全的,将不会被触发规则报警。
·确认、改为未确认:是SQL模板的一种状态标签,表示管理员是否已经看过、知道了该类语句。
·设置为统方:是SQL模板的一种状态标签,表示此类语句以后可被触发为统方事件。
·修改别名:为了便于管理、沟通,管理员可以为SQL模板设置别名。
·丢弃此类语句:表示此类语句以后将被直接过滤,不被保存。
将鼠标放在列表中某SQL模板上,右击鼠标可修改该类模板的状态,如下图所示:
图3-46状态设置
右击并选择某个状态,在弹出[确定]的对话框中选择<确定>即可。
选中语句,右击选择<查询具体语句>,可跳转到具体语句查询界面。
图3-47查询具体语句
点击界面上的<设置状态>按钮,可以批量设置SQL模板的状态。如下图所示:
图3-48设置状态
如上图所示,用户可以将列表中所有语句或选中的语句设置为安全、丢弃、统方、确认、未确认状态。
点击[审计中心/因子监测],进入如下图所示界面:
图3-49因子监测
在没有配监听配置的情况下,审计引擎通过镜像流量识别的方式发现被审计的数据库对象,发现的数据库对象在因子监测中展示为数据库服务器。
下面介绍一些关于因子监测的管理:
IP地址、数据库服务器页面,IP地址可支持地址网段。
点击[审计中心/网络审计],进入如下图所示界面:
图3-50网络审计
点击端口可展开详细信息,如下图所示:
图3-51详细信息
通过对比不同时期(按月、按周、按天)的审计数据,分析审计数据量、源IP、帐号数、客户端工具数等的差异情况,协助用户对业务系统的运维。
图3-52对比分析
对比分析结果以列表和图表的形式展示。比较项包括:源IP,帐号数,客户端工具数,客户端主机数,表对象数,操作类型数,明细语句数,会话数,告警数,SQL模板数。
选择基础对象和比较对象,以基础对象为标准,对比结果显示为比较对象与基础对象的差值,差值为零,则显示无变化;差值为正数,则对比结果数据显示蓝色字体;差值为负数,则对比结果数据显示红色字体。
图3-53对比分析结果
(1)源IP对比
按小时统计每日零点开始的源IP数,鼠标停留时显示该小时基础对象和比较对象的源IP数。
图3-54源IP对比
(2)账号数对比
按小时统计每日零点开始的账号数,鼠标停留时显示该小时基础对象和比较对象的账号数。
图3-55账号数对比
(3)客户端工具数对比
按小时统计每日零点开始的客户端工具数,鼠标停留时显示该小时基础对象和比较对象的客户端工具数。
图3-56客户端工具数对比
(4)客户端主机数对比
按小时统计每日零点开始的客户端主机数,鼠标停留时显示该小时基础对象和比较对象的客户端主机数。
图3-57客户端主机数对比
(5)表对象数对比
按小时统计每日零点开始的表对象数,鼠标停留时显示该小时基础对象和比较对象的表对象数。
图3-58表对象数对比
(6)操作类型数对比
按小时统计每日零点开始的操作类型数,鼠标停留时显示该小时基础对象和比较对象的操作类型数。
图3-59操作类型数对比
(7)明细语句数对比
按小时统计每日零点开始的明细语句数,鼠标停留时显示该小时基础对象和比较对象的明细语句数。
图3-60明细语句数对比
(8)会话数对比
按小时统计每日零点开始的会话数,鼠标停留时显示该小时基础对象和比较对象的会话数。
图3-61会话数对比
(9)告警数对比
按小时统计每日零点开始的告警数,鼠标停留时显示该小时基础对象和比较对象的告警数。
图3-62告警数对比
(10)SQL模板数对比
按小时统计每日零点开始的SQL模板数,鼠标停留时显示该小时基础对象和比较对象的SQL模板数。
图3-63SQL模板数对比
用户关心的与业务紧密关联的各种数据统计报表。用户可以通过报表任务管理设置各种类型的报表。另外,事件报表是对系统审计到的高中低风险事件,并鉴定为风险事件。
报表中心包括四个模块:报表任务、事件报表、统方报告、报表查看。用户可以在报表任务中指定各种报表计划,然后在事件报表中查看已生成各种的报表。
图4-1报表中心
报表任务,是生成报表的依据,包含两种类型:自定义,系统默认。自定义报表任务,是系统根据用户制定的任务生成符合条件的报表;系统默认提供了七个报表任务,生成的报表也可以在[监控中心/流量钻取]中查看。
报表任务界面主要操作有:查看报表、新建报表、修改报表、删除报表、导入报表配置、导出选中报表配置、导出全部配置等功能。
左栏菜单中点击[报表中心/报表任务]即可在功能区中管理报表任务,如下图所示:
图4-2报表任务
报表任务总数上限100条,超过上限的备份文件将无法直接导入。配置管理中恢复配置时也只能恢复前100条报表任务。若升级前已超过100条上限,将无法添加、修改、导入报表配置、导出报表配置。
报表任务创建后,目前系统默认会在00:00——07:00期间生成报表,生成的报表将会保存365天,365天后将被删除。所以,需要保留的报表请在此期间将报表导出。
在报表任务界面中,查询报表任务后,可以直接查看该报表任务的执行结果,即已生成的报表。
图4-3查看报表
图4-4选择任意报表查看
点击<确定>后,报表将弹出新的页面展示报表,用户可以将报表内容打印或导出。如下图所示:
图4-5数据库用户名统计
报表任务的状态主要有三种:已完成、预备中和执行中,表示报表任务的完成状态。如下图所示:
图4-6报表状态
表示该任务至少已经完成了一次(一次性报表)或一个周期(周期性报表),可以查阅。
目前系统默认会在00:00——07:00期间生成报表。
新建报表任务,让系统定期生成报表。目前系统支持的常规报表模板内容主要有:流量统计、特权跟踪类。每类报表又可以分为:一次性(只生成一次,不重复)、周期性(将会重复、周期性的生成)。
可实现对告警的统计报表,根据时长、累计次数、累计条件(对象)进行周期性统计。
点击[报表任务/新增报表],将弹出[新增报表]窗口,支持的报表任务有以下几种,如下图所示:
图4-7增加报表
需要配置的参数主要有这几个方面:常规参数、展示方式、报表对象。下面将详细各项参数:
图4-8增加报表
(1)报表类型
需要生成的报表类型,通过下拉列表选择。如下图所示:
图4-9报表类型
(2)常规参数设置
设置报表任务的备注信息,以及是否发送到邮件。周期性报表任务和一次性的参数不太一样,如下图所示:
·一次性报表任务_常规参数设置
图4-10常规参数
·周期性报表任务_常规参数设置
图4-11常规参数设置
(3)展示方式设置
·一次性报表任务_展示方式设置
图4-12图展示方式
·周期性报表任务_展示方式设置
图4-13展示方式设置
(4)报表对象设置
如图中新建的报表内容是:对每周SQL语句中“应用程序名=charge,且源IP=11.9.1.82,执行时长>5s”的语句进行统计,统计结果按照升序排序的方式展示前10个符合条件的结果。
·添加对象
图4-15对象选择
允许将流量周期统计报表发送到[监控中心/流量钻取]中展示,但要求“报表对象”列表中的统计对象只能为同类型对象,且最多只能添加两个对象。如下图所示报表配置无法进行流量展示:
图4-16对象列表
报表对象列表若同时存在同一数据的“=”和“not”对象(例如,同时存在“源IP=10.4.8.222”和“源IPnot10.4.8.222”),则报表不会统计该数据(10.4.8.222),即“not”对象的优先级更高。
报表对象不允许配置“(对象类型)not全部”格式的对象。
图4-17新增报表
对某些特权操作进行跟踪按照设置的范围进行周期性统计。如下图所示:将对每天中包含createtable、createrole、createindex三种操作方式的SQL语句分别进行统计。
图4-18新增报表
图4-19新增报表
选择某报表任务,点击<修改报表>按钮,可以修改报表任务的内容。报表任务正在执行的时候,点击<修改报表>只能查看内容。如下图所示:
图4-20修改报表
选择一个或多个某报表任务,点击<删除报表>按钮,将删除彻底该报表任务,不再执行该任务。
图4-21删除
系统提供的报表配置的导入导出,只需要将报表任务配置导出,若报表任务被删除了,管理员不需要重新新建任务,只需重新导入该任务的报表配置文件即可。简化了报表任务的管理工作。
图4-22导出报表配置
点击<确定>按钮上方的浏览可以将文件保存到指定目录。
图4-23导出报表配置
图4-24导入报表配置
图4-25上传报表配置
事件报表主要是对“年报表”和“月报表”两个模块。通过不同的色块能对一目了然的查看当前月份和本年所有月的事件报表生成情况。同时支持对报表进行编辑。
点击左栏的菜单的[报表中心/事件报表]进入界面,如下图所示:
图4-26事件报表
进入事件报表后,可以看到界面上方的报表配置如下图所示:
图4-27报表配置
点击<管理过滤规则>按钮,弹出[管理过滤规则]页面,如下图所示:
图4-28管理过滤规则
该界面主要提供的给已添加的过滤规则,提供删除的功能。用户如果发现这些(源IP、目标IP、SQL模板、操作方式、操作表名、规则名称、应用程序名)对象的具体内容存在不安全因素,可以勾选具体项将其删除。
报表管理包含“日报表的管理”和“月报表的管理”。
绿色表示已生成报表,灰色未生成报表,黄色表示正在生成中的报表。如下图所示:
图4-29报表生成状态
只有已“生成的报表”才具有查看和编辑功能。“未生成的报表”和“正在处理的报表”无此功能。
图4-30查询
在展示列表中直接显示了某天,或者某月的事件记录条数,并且可以对他们进行编辑、查看详细等操作。如下图所示:
图4-31功能
图4-32编辑
(1)柱状统计图
柱状统计图展示了被审计到的记录中关键信息的前十名统计情况。系统统计内容主要有:源IP高危记录前十统计、目标IP高危记录前十统计、SQL模板高危记录前十统计、操作方式高危记录前十统计、操作表名高危记录前十统计、规则名称高危记录前十统计、应用程序名高危记录前十统计。
如下图所示是源IP高危记录前十统计:
图4-33统计
(2)事件展示列表
图4-34事件展示列表
(3)报表小结
系统管理员在查阅了统方事件报表后可以对报表做概括性的总结,具体内容如下图所示:
图4-35报表小结
(4)报表打印和导出
此外,系统还支持高危记录报表打印和导出为WORD、WPS、HTML、PDF文件。如下图所示:
图4-36导出
图4-37打印
统方报告界面可以通过创建日期检索和查看已生成的报告。点击左栏菜单中[报表中心/统方报告]进入界面。如下图所示:
图4-38统方报告
·报告查询
在界面中选择统方报告的创建日期,点击“查询”按钮进行查询。查询结果以列表的形式展示,并展示了该日期创建的统方报告的创建日期、编制人、编制单位、报告概述等信息。
·查看报告
图4-39统方事件风险分析
关于报告的内容与介绍在统方事件中“生成报告”中已做详细说明,此处不再赘述。
·查看统方事件
报表查看,以日历为主线向用户展示系统报表,简单、易用。有数据日期显黄色,无数据日期显灰色,方便使用查询。点击[报表中心/报表查看]进入页面,如下图所示:
图4-40报表查看
页面是左右结构,左栏是菜单栏,右栏是报表展示区。左栏的上半部分是个日历表,下半部分是报表列表,根据生成周期分为:日报、周报、月报、年报、一次性报表。右栏报表展示区用于展示被选择的报表,并用图表和列表两种形式进行展示。所有报告和报表增加封面,提供报表缩略图功能(一次性报表更改配置后需清空缓存显示最新的缩略图),点击即可跳转到详细报表页面。
图4-41详细报表
每周更新提供审计设备自身健康状态分析报告、特权账号与异常时段分析报告、业务流量分析报告,有助于管理员了解设备运行情况、数据库业务安全状况。
(1)审计设备自身健康状态分析报告
本分析报告提供对审计设备在一周范围内,设备发生异常状态的情况记录,并对异常情况进行分析形成报告,为反映审计设备自身的运行状况提供依据。如下图所示:
图4-42审计设备自身健康状态分析报告
(2)特权账号与异常时段分析报告
本分析报告提供对数据库在一周范围内,帐号在非业务处理时段的操作与特权帐号操作的监控记录,并对监控记录进行分析、得出结论,形成特权帐号与异常时段分析报告,以供反映数据库的业务安全状况,提供依据。如下图所示:
图4-43特权账号与异常时段分析报告
(3)业务流量分析报告
本分析报告提供在一周范围内,对数据库产生的语句流量、数据库账号使用情况、语句响应时长等进行分析,并形成报告,以供反映数据库业务安全状况。如下图所示:
图4-44业务流量分析报告
(1)审计数据概况分析报表
本报表每日、每周、每月针对在线用户数、并发会话数、明细记录数进行统计分析,便于管理员掌握此时段内系统的数据情况,如下图所示:
图4-45审计数据概况分析报表
(2)事件分析报表
本报表针对每日、每周、每月生成的告警事件统计分析,罗列出系统中发生高可疑、中可疑、低可疑风险事件的明细信息,对此时段内发生的事件一目了然,如下图所示:
图4-46事件分析报表
(3)数据库服务器分析日报表
图4-47数据库服务器分析日报表
(4)非业务程序访问报表
本报表以业务系统划分,统计业务系统的非业务程序访问情况,便于管理员了解业务系统安全。如下图所示:
图4-48非业务程序访问报表
(5)敏感行为分析报表
本报表以业务系统划分,是针对业务系统发生的各类敏感行为的统计分析,便于管理员从敏感行为角度分析业务系统的安全性。如下图所示:
图4-49敏感行为分析报表
报表的查阅主要是以数据产生的日期为条件,即当选择某个日期后,左栏下半部分显示的是包含该天数据的所有报表,并根据生成周期进行分类展示。
(1)选择要查看报表的日期
图4-51分类
(2)选择需要查报表的类别
在报表类别中点击某类报表,便会出现符合条件的报表。如下图所示是查看3月10日“日报”中看到的有关报表:
图4-52日报
在列表中点击某张报表即可在右栏中查看该报表的详细内容,如下图所示是点击上图中“应用程序名统计”报表后看到的内容:
图4-53选择报表
点击报表右上角的<打印>按钮在弹出对话框中选择打印机后打印即可。
图4-54打印
系统支持将报表导出成WORD、WPS、HTML、PDF格式的文件,点击报表右上角的<导出>按钮,在弹出的提示框中选择<保存>或点击<保存>右侧的下拉列表可将文件另存到指定目录中。
图4-55导出报表
策略中心,主要是配置审计内容,定义事件规则,还对系统中涉及的各种对象进行管理。是系统识别各类风险事件的第一步。
主要包含以下这些模块:监听配置、事件定义、对象管理、客户端信息、敏感信息、事件响应、三层关联、入侵检测规则、交换机信息等。左栏菜单如下图所示:
图5-1策略中心
监听配置模块主要功能是设置系统监听的范围,主要包括业务系统配置、中间件服务器配置、应用审计配置、指定IP审计。点击[策略中心/监听配置]进入界面,如下图所示:
图5-2监听配置
图5-3业务系统配置
点击<添加>按钮弹出[添加业务系统]对话框,如下图所示:
图5-4添加业务系统配置
管理员只需填写业务系统的名称,勾选状态、编码策略、数据库类型,并配置服务器IP和监听端口号,点击<确定>即可。
当编码策略设置为自动识别时,系统自动识别编码类型,后可手动修改。
在列表中选择某业务系统后点击<修改>按钮便可以编辑、修改配置信息,如下图所示:
图5-5编辑业务系统配置
点击选择某业务系统后,点击界面中的删除按钮,在弹出[确定]对话框中点击<确定>即可删除该配置信息。如下图所示:
图5-6删除业务系统配置
点击选择业务系统后,点击界面中的启用按钮,在弹出[确认]对话框中点击<确定>即可启用该配置信息,若选中的业务系统中包含已启用的配置,则系统会给出相应提示。如下图所示:
图5-7启用业务系统配置
图5-8已启用的业务系统再次点击启用
点击选择业务系统后,点击界面中的停用按钮,在弹出[确认]对话框中点击<确定>即可停用该配置信息,若选中的业务系统中包含已停用的配置,则系统会给出相应提示。如下图所示:
图5-9停用业务系统配置
图5-10已停用的业务系统再次点击停用
即使业务系统列表中配置了业务系统配置,当业务系统的状态为停用时,系统停止审计该业务系统,即不产生该业务系统的日志。
当监听的业务系统数据库类型为Oracle、SQLserver、MYSQL时,审计系统的统方事件和事件查看支持通过直连数据库的方式进行返回值查看,获取精确的返回值信息。
返回值直连方式查询仅事件中提供,当用户为获取精确返回值,方便判断事件性质时使用此功能,同时,从安全设备角度考虑,该查询方式限制只能查询触发事件的select语句。
点击选择业务系统后,点击界面中的修改按钮,在弹出[修改业务系统配置]对话框中点击<返回值配置>即可进行返回值配置。
图5-11业务系统配置
可点击<连接测试>,验证数据库的连通性。验证通过后,点击<保存>即可保存返回值配置。
图5-12业务系统配置
同一个业务系统配置最多只能配置三组返回值,如果超出限制,点击添加按钮,系统提示错误。如下图所示:
图5-13返回值配置数量限制
勾选需要备份的配置,点击<备份配置>按钮,在弹出的[备份配置]对话框中输入备注信息,点击<确定>按钮,如下图所示:
图5-14业务系统备份配置
点击<备份配置文件管理>按钮,在弹出的[备份配置文件管理]对话框中可进行上传配置、删除配置、导入配置、下载配置等操作,如下图所示:
图5-15备份配置文件管理
(1)上传配置
如需上传原来下载过的备份配置文件,可在[备份配置文件管理]对话框中,点击<上传配置>按钮,从本地文件目录中选择需还原的备份配置文件,点击<确定>按钮,如下图所示:
图5-16上传配置
(2)删除配置
在[备份配置文件管理]对话框中,勾选需删除的备份配置文件,点击<删除配置>按钮,如下图所示:
图5-17删除配置
(3)导入配置
在[备份配置文件管理框]对话框中,勾选需导入的备份配置文件,点击<导入配置>按钮,如下图所示:
图5-18导入配置
(4)下载配置
在[备份配置文件管理]对话框中,勾选需下载的备份配置文件,点击<下载配置>按钮,如下图所示:
图5-19下载配置
设置需要监听的协议服务器类型,主要配置内容包括IP地址、端口、状态、COOKIE配置、过滤规则配置。点击监听配置页面中的[中间件服务器配置]标签,打开的界面如下图所示:
图5-20中间件服务器配置
界面中展示了已添加的需要监听的WEB协议服务器IP地址、端口号、COOKIE配置、过滤规则配置-文件类型、过滤规则配置-过滤URL,此外还可以添加、删除、修改服务器配置。
点击WEB协议服务器配置标签的<添加>按钮弹出[添加WEB协议服务器配置]对话框,如下图所示:
图5-21添加应用服务器配置
首先要配置被审计的WEB服务器的IP和监听端口号等基本信息,选择状态,然后配置需要审计的COOKIE、配置审计的过滤规则。
·COOKIE配置
配置COOKIE中所使用的会话ID的参数名(比如WEBLOGIC中一般使用“JSESSIONID”),如上图。
配置之后查看url审计的详细信息时,SESSIONID将会展示COOKIE参数对应字段的值,如下图:
·过滤规则配置
设置URL解析时,需要过滤掉的信息。满足响应模糊URL特征的流量将不会被审计到。可以是图片,FLASH动画等,配置界面如下图所示:
图5-22配置界面
设置完毕,点击<确定>后配置即可生效。
在列表中选择某应用服务器后点击<修改>按钮便可以编辑、修改配置信息,如下图所示:
图5-23修改应用服务器
点击选择某应用服务器后,点击界面中的删除按钮,在弹出对话框中点击<确定>即可删除该配置信息。如下图所示:
图5-24删除
勾选需备份的配置,点击<备份配置>按钮,在弹出的[备份配置]对话框中,输入备注信息,点击<确定>按钮,如下图所示:
图5-25备份配置
点击<备份配置文件管理>按钮,在弹出的[备份配置文件管理]对话框中,可进行上传配置、删除配置、导入配置、下载配置等操作,WEB协议服务器配置的备份配置文件管理与业务系统备份配置文件管理相同,此处不再赘述,如下图所示:
图5-26备份配置文件管理
点击非WEB协议服务器配置标签的<添加>按钮弹出[添加非WEB协议服务器配置]对话框,如下图所示:
图5-27添加
管理员只需填写非WEB协议服务的名称,选择状态、编码策略、服务类型,并配置服务器IP和监听端口号,点击<确定>即可。
在列表中选择某服务器后点击<修改>按钮便可以编辑、修改配置信息,如下图所示:
图5-28编辑
图5-29删除
点击<备份配置>按钮,在弹出的[备份配置]对话框中,输入备注信息,点击<确定>按钮,如下图所示:
图5-30备份配置
点击<备份配置文件管理>按钮,在弹出的[备份配置文件管理]对话框中,可进行上传配置、删除配置、导入配置、下载配置等操作。非WEB协议服务器配置的备份配置文件管理操作与业务系统配置的备份配置文件管理操作相同,此处不再赘述,如下图所示:
图5-31备份配置文件管理
点击应用审计配置标签页的<添加>按钮,弹出[添加应用审计配置]对话框,如下图所示:
图5-32添加FTP应用审计配置
管理员只需填入应用审计名称,选择协议类型为FTP,填写FTP服务器IP后点击<确定>即可。
图5-33修改
选择需要删除的服务器配置,点击<删除>按钮,在弹出对话框中点击<确定>即可删除该配置信息。如下图所示:
图5-34删除
其它类型的运维协议审计的配置方法与配置FTP协议一致。
图5-35备份配置
点击<备份配置文件管理>按钮,在弹出的[备份配置文件管理]对话框中,可进行上传配置、删除配置、导入配置、下载配置等操作,应用审计配置的备份文件管理操作与业务系统的备份配置文件管理操作相同,此处不再赘述,如下图所示:
图5-36备份配置文件管理
点击监听配置页面中的指定IP审计标签,打开的界面如下图所示:
图5-37指定IP审计
审计vlantag的报文需勾选支持vlan数据后点击保存配置。
根据网络环境,在相应的网络环境中选择单个IP、网段,输入IP地址并保存,进行源地址bpf过滤,减少设备执行数据过滤时的性能消耗。
VXLAN协议需单独配置,例如,指定审计IP为192.168.5.1,该IP同时存在局域网与VXLAN云环境中,配置时,局域网配置中添加包含IP(192.168.5.1),在VXLAN云环境中也需添加包含IP(192.168.5.1),这样配置才能在全部流量中指定审计IP。
指定IP审计网段与网段直接不支持重复校验,且“不包含IP”的优先级大于“包含IP”。
该功能模块主要是定义各种规则,用于识别系统中关于数据库、应用服务器的风险事件。模块包含三个部分:数据库应用规则、数据库默认规则、应用服务器规则。点击[策略中心/事件定义],打开的界面如下图所示:
图5-38事件定义
·数据库应用规则:识别发生在数据库上风险行为的规则。
·数据库默认规则:识别发生在数据库上风险行为的系统内置默认规则。
·应用服务器规则:识别发生在应用服务器上风险行为的规则。
1、数据库应用规则与数据库默认规则针对数据库中SQL语句进行匹配。
2、应用服务器规则针对访问应用服务器的URL进行匹配。
点击[策略中心/事件定义],在功能区中点击[数据库应用规则]标签,进入数据库审计规则页面。在此对规则所触发的次数做统计,并能手工清零当前的计数值。如下图所示:
图5-39数据库应用规则
点击<添加>按钮新建识别规则。主要设置项如下图所示:
图5-40添加
(1)常规设置
·规则名称:只允许输入中文(中文符号除外)字母、数字、空格、英文符号(_、.)和中英文括号(()、()),是必填项。
·规则状态:规则的启用、停用。
·风险级别:定义触发该规则的事件的风险程度,分别是:高可疑、中可疑、低可疑、安全。
·规则动作:触发该规则的事件是被记录保存下来还是丢弃。
系统强制设置高、中、低可疑事件都需要被记录,不允许丢弃。被设置为丢弃的事件一定不是高、中、低可疑事件。
·规则描述:对该规则的补充说明。
(2)客户端触发条件设置
图5-41客户端触发条件设置
多个参数间是“与”的关系,即同时满足才能触发规则。
每个参数可以设置多个值,并支持对多个值进行or、and、=、not等逻辑运算。点击文本框右侧的下三角可直接选择已有的对象,点击最右侧的+号可新建对象;
(3)服务端触发条件设置:
设置服务器端触发规则的条件,主要参数如下图所示:
图5-42服务端触发条件设置
当事件同时满足“客户端触发条件”和“服务端触发条件”的条件才会触发该规则。
勾选某条记录前的复选框,点击<修改>按钮修改规则,在弹出的[修改数据库应用规则]窗口中对规则各项参数调整。注意,默认规则不可修改。如下图所示:
图5-43修改规则
勾选一条或多条记录前的复选框,单击<删除>按钮,在弹出[确认]的对话框中选择确定即可删除,若在此页面删除数据库默认规则,则视为停用该默认规则,并在数据库应用规则页面移除该规则。如下图所示:
图5-44删除
如需一次性删除系统内所有数据库应用规则,可单击<清空规则>按钮,在弹出[确认]的对话框中选择确定即可删除。如下图所示:
图5-45清空规则
事件的识别是按照规则列表中的排列顺序逐条匹配,即排在前面的规则优先生效。用户可以根据情况点击规则后的上下箭头按钮或选中拖动来重新排列规则,然后单击<保存规则排序>,在弹出[确认]的对话框中点击<确定>,排序生效。如下图所示:
图5-46规则排序
如需上传原来下载过的备份规则,可点击<上传规则文件>按钮,选择需要上传规则文件即可。如下图所示:
图5-47上传规则文件
上传的文件要求是.tgz文件,无需解压。
选择一条或多条规则后点击<备份规则>按钮进行备份,填入文件描述后,系统提示备份成功即可,如下图所示:
图5-48备份规则
对所有的规则备份文件管理,可以对其进行删除、导入、下载操作。如下图所示:
图5-49备份
当在规则列表中删除一条或多条规则后,如果实现有对其进行备份,只需要点“导入”即可将规则添加到自定义识别规则列表中。
点击<下载>按钮,即可导出规则文件,如下图所示:
图5-50下载
点击<导入>按钮,即可导入规则文件,存在以下几种情况:
导入规则中不存在同名规则,但存在同名对象;
导入规则中不存在同名规则,也不存在同名对象;
点击导入之后提示:“导入前请备份好当前配置,避免无法恢复当前配置。同时,规则导入将附带导入规则包含的对象。是否继续导入?”,点击确定,系统导入规则。提示如下图所示:
图5-51备份规则文件导入不存在同名规则
导入规则中存在x条同名规则,且存在同名对象;
导入规则中存在x条同名规则,但不存在同名对象;
点击导入后提示如上图所示,若点击确定,则系统提示“导入系统的规则包中,存在x条同名规则,是否覆盖系统中的同名规则(覆盖,以规则名称作为判断条件/不覆盖,导入其他不同名规则)?”。点击覆盖,系统将覆盖同名规则与同名对象。点击不覆盖,系统将导入其它不同名规则。提示如下图所示:
图5-52备份规则文件导入存在同名规则
勾选一条记录前的复选框,单击<清空单条规则触发命中数>按钮,在弹出[确认]的对话框中选择<确定>即可清空。如下图所示:
图5-53清空单条规则触发命中数
单击<清空所有规则触发命中数>按钮,在弹出[确认]的对话框中选择<确定>,即可清空所有规则的触发命中数。如下图所示:
图5-54清空所有规则触发命中数
数据库审计系统自带数据库默认规则,用户可通过启用默认数据库规则,实现基本的数据库审计并发现数据库风险。数据库默认规则根据数据库类型划分为:通用规则、Oracle、SQLServer、MySql、DB2、DM六个类别,用户可根据需要,启用或停止数据库默认规则。默认规则不能修改与删除,只可启用或停用。注意,在出厂状态下所有的默认规则皆为停用状态。
图5-55数据库默认规则
用户可勾选要启用的数据库默认规则,然后点击<规则启用>按钮后确定,即可启用列表中所选规则。
图5-56规则启用
当启用数据库默认规则成功后,该默认规则的状态会变为启用,同时,默认规则会自动添加至数据库应用规则页面,默认规则的名称以绿色字体展示,自定义规则名称以蓝色字体展示。在数据库应用规则页面中,系统默认的规则优先级为:默认规则>自定义规则。每次新启用的默认规则按照默认规则ID从小到大排列在最前。用户可根据需求,手动调整默认规则与自定义规则的优先级。如下图所示:
图5-57规则状态
图5-58数据库应用规则页面显示已启用的默认规则
如需停用某条默认数据库规则,用户可勾选需停用的规则,然后点击<规则停用>按钮并确定,即可停用所选规则。
图5-59规则停用
数据库默认规则停用成功后,该规则状态变为停用,并且在数据库应用规则页面移除该规则,如下图所示:
图5-60规则停用状态
图5-61数据库应用规则页面移除停用的默认规则
如需启用该规则类别的所有数据库默认规则,可点击<全部启用>按钮后确定,即可启用该类别下的所有规则,如下图所示:
图5-62按类别全部启用
全部启用后的数据库默认规则状态与前文描述勾选启用后状态相同,此处不再重复描述。
如需停用该类别下的所有数据库默认规则,可点击<全部停用>按钮后确定,即可停用该类别下的所有规则,如下图所示:
图5-63按类别全部停用
全部停用的数据库默认规则的状态与前文描述勾选停用状态相同,此处不再重复描述。
在左侧规则查询框中,输入需要查询的数据库默认规则名称,下方自动展示符合该规则名称的规则。如下图所示:
图5-64规则查询
用户可根据风险级别搜索数据库默认规则,搜索项分别为全部、高可疑、中可疑、低可疑,如下图所示:
图5-65风险级别
针对应用服务器的审计规则,操作与数据库服务器规则类似,只是规则的内容不同。如下图所示:
图5-66应用服务器规则
图5-67添加规则
应用服务器规则的其它操作与数据库服务器规则相似,此处不再赘述,具体的可以参考数据库服务器规则部分。
图5-68对象管理
每种信息的含义和操作方式将在下文中描述。
点击左栏菜单中“地址池”进入地址池管理页面:
图5-69地址池
点击<添加>按钮,输入地址池对象名称,描述,选择IPMAC列表类型,填写对应的IP地址与MAC地址到列表,点击<确定>即可加入;
图5-70添加IPMAC
点击<添加>按钮,输入地址池对象名称,描述,选择网段类型,填写对应的IP地址子网掩码类型,点击<确定>即可加入;
图5-71添加网段
当选定已有的某条记录,点击<修改>进行编辑,修改完成后点击<确定>完成修改。
图5-72修改
选定已有的某条记录,点击<删除>,即可把已经存在的某个对象删除。如下图所示:
图5-73删除
当需对已添加的地址池对象全部删除时,可点击<清空>,即可把已经存在的所有地址池标签下的内容全部删除,如下图所示:
图5-74清空地址池
用户可以逐条添加地址池信息外,可以点击<导入(单次最多5000条,上限为10000条)>按钮,通过批量导入的方法添加地址池信息。如下图所示:
图5-75导入
勾选地址池信息,点击<导出选中(最多10000条)>,或直接点击<导出全部(最多10000条)>,在弹出密码设置框中,选择是否加密即可将客户端信息导出,如下所示。
图5-76导出
当需要批量导入地址池信息时,为避免导入错误,可点击<下载模板>按钮,通过模板引导来正确的导入格式,保证成功导入信息。如下图所示:
图5-77下载模板
图5-79添加
图5-82数据库名
图5-83添加
删除、修改、清空、导入、导出、下载模板等操作与其它对象的操作类似,此处不再赘述。
数据库的用户,管理员在此进行用户的添加、删除、修改、清空、导入、导出、下载模板等操作。数据库用户名可用于规则中。
图5-84数据库用户名
图5-85添加
操作表名,用于规则定义,可以对操作表名进行添加、删除、修改、清空、导入、导出、下载模板等操作。
图5-86操作表名
操作表名的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
业务系统中存在的应用程序名,可以是合法或非法的,用于定义识别规则。若是合法的应用程序名则常用于过滤规则,若是非法的,常用于识别各类风险事件。
图5-87应用程序名
应用程序名的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
操作内容是SQL操作方式的具体参数,如某个表、某个字段、甚至是某个对象的具体的值。界面如下图所示:
图5-88操作内容
操作内容的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
预先定义规则中会引用到的操作方式,并对其进行增加、删除、修改、清空、导入、导出、下载模板等操作,如下图所示:
图5-89操作方式
操作方式的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
计算机名称,定义规则时,主要用于设置客户端触发条件。界面如下图所示:
图5-90计算机名
计算机名的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
图5-91错误代码
错误代码的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
图5-92客户端信息
用户可通过点击<添加>来手动添加某条客户端信息,把客户端信息填完后点击<确定>,系统将保存此条信息。如下图所示:
图5-93添加
当需修改某条客户端信息,用户可勾选需修改的客户端信息后,点击<修改>,在修改客户端信息页面修改,修改完成后点击<确定>即可。如下图所示:
图5-94修改
当需删除某条客户端信息,用户可勾选要删除的客户端信息后,点击<删除>,在弹出的消息框,点击<确定>即可完成删除。如下图所示:
图5-95删除
用户可以逐条添加客户端信息外,可以通过批量导入的方法添加客户端信息。如下图所示:
图5-96导入
如需对已添加的客户端信息全部删除时,可点击<清空>,即可把已经存在的客户端信息全部删除,如下图所示:
图5-97清空客户端信息
客户端导出提供可选加密功能,点击<导出全部(最多5000条)>后,在弹出密码设置框中,选择是否加密即可将客户端信息导出,如下图所示。
图5-98导出全部
图5-99未设置压缩密码
图5-100已设置压缩密码
当需要批量导入客户端信息时,为避免导入错误,可下载模板,通过模版引导来正确的导入格式,保证成功导入客户端信息。点击<下载模板>按钮,在弹出的提示框中选择<保存文件>后确定,下图所示:
图5-101下载模板
导入导出目前只支持扩展名为.csv的文档。
敏感信息主要应用与规则,定义业务系统中的用户非常关心的重要信息。包含业务系统、关键表、关键字段、医生ID对应表、药品ID对应表、应用程序对应表等,敏感信息是产生统方事件的必要因素之一,且敏感信息起到翻译作用。系统对用户业务系统中的关键信息进行了映射,即数据库中的数据翻译成对应的描述,使用户能一目了然地读取获取事件的信息。点击[策略中心/敏感信息]进入敏感信息界面。
图5-102敏感信息
业务系统:系统内置了18家HIS(医院信息管理系统)厂商统方规则库,能够准确识别各种统方操作,同时可根据业务自定义规则。系统默认情况下为自定义,可根据用户使用的HIS进行配置。点击<业务系统>,进入业务系统管理页面。
图5-103业务系统
关键表:用户可在此定义业务系统中的重要数据库表,可通过关键表名或关键表的别名进行查询。在此可对关键表进行添加、修改、删除、清空、导入、导出全部关键表信息、下载模板等操作。
图5-104关键表
点击<添加>按钮,输入关键表名、别名、选择启用状态与是否启用语句翻译,最后填写描述后点击<确定>即可添加关键表。
图5-105添加关键表
当需修改某个关键表内容,用户可勾选需修改的关键表后,点击<修改>,在[修改关键表]框进行修改,修改完成后点击<确定>即可。如下图所示:
图5-106修改关键表
如需删除某个关键表,用户可勾选要删除的关键表后,点击<删除>,在弹出的确定框,点击<确定>即可完成删除。如下图所示:
图5-107删除关键表
如需删除全部的关键表,可通过点击<清空>,来清空所有关键表,在弹出的消息框点击<确定>,即可完成删除。如下图所示:
图5-108清空关键表
用户可以逐条添加敏感信息,也可以通过导入已有的.CSV文档快速添加关键表信息。点击<导入(最多5000条)>后选择CSV文件的位置后,<确定>即可导入。如下图所示:
图5-109导入
敏感信息导出提供可选加密功能,如需导出全部关键表配置信息,可点击<导出全部(最多5000条)>按钮,根据需求选择是否加密后,即可导出敏感信息关键表配置信息。如下图所示:
图5-110导出全部
图5-111未设置压缩密码
图5-112已设置压缩密码
当需要批量导入关键表时,为避免导入错误,可下载模板,通过模版来引导正确的导入格式,保证成功导入关键表。点击<下载模板>按钮,在弹出的提示框中选择<保存文件>后确定。如下图所示:
图5-113下载模板
关键字段:用户可在此定义业务系统中的数据库表中重要的字段,可通过关键字段名或关键字段的别名进行查询。在此可对关键字段进行添加、修改、删除、清空、导入、导出全部关键字段信息、下载模板等操作。点击菜单中“关键字段”进入其管理页面:
图5-114关键字段
点击<添加>按钮,输入关键字段名、别名、选择是否启用状态和是否启用语句翻译,最后填写描述后,点击<确定>即可添加关键字段。
图5-115添加关键字段
关键字段的修改、删除、清空、导入、导出全部、下载模板等操作与关键表的操作类似,此处不再赘述。
医生ID对应表:用户根据实际情况添加医生ID对应表,让医生ID号与对应的字段一一对应,使数据库中的数据翻译成指定的别名,方便用户查阅分析。点击菜单中“医生ID对应表”进入“医生ID对应表”管理页面:
图5-116医生ID对应表
点击<添加>按钮,输入对应字段名、医生ID号、别名、选择启用状态、是否启用语句翻译和行为者翻译,最后填写描述后,点击<确定>即可添加医生ID对应表。
图5-117添加医生ID对应表
医生ID对应表的修改、删除、清空、导入、导出全部、下载模板等操作与其它敏感信息配置操作类似,此处不再赘述。
药品ID对应表:用户可在此定义药品ID对应表,使药品ID号与其对应字段一一对应,让数据库中药品数据翻译成指定的别名,方便用户查阅分析。点击菜单中“药品ID对应表”进入“药品ID对应表”管理页面:
图5-118药品ID对应表
点击<添加>按钮,输入对应字段名、药品ID号、别名、选择启用状态和是否启用语句翻译,最后填写描述后点击<确定>即可添加药品ID对应表。
图5-119添加药品ID对应表
药品ID对应表的修改、删除、清空、导入、导出全部、下载模板等操作与其它敏感信息配置操作类似,此处不再赘述。
应用程序对应表:为应用程序名配置对应的别名,让应用程序名在系统审计翻译成指定的别名,方便用户查阅分析。点击菜单中“应用程序对应表”进入“应用程序对应表”管理页面:
图5-120应用程序对应表
点击<添加>按钮,输入应用程序名、别名、选择启用状态与是否启用语句翻译,而后填写描述后点击<确定>即可添加应用程序对应表。
图5-121添加应用程序对应表
应用程序对应表的修改、删除、清空、导入、导出全部、下载模板等操作与其它敏感信息配置的操作类似,此处不再赘述。
用户可自定义敏感信息是否启用,若启用将会影响事件识别规则,反之,不影响。
敏感信息关键表、关键字段、应用程序对应表各自的启用上限为100,即各自列表下,同时可启用的信息条数为100条。到达启用上限后添加或者导入的信息,启用状态自动变为停用。例如当关键表已存在95条信息(均启用)时,用户再导入10条已启用的信息可导入成功,导入信息的前5条仍为启用状态,但后5条变为停用状态。
医生ID对应表、药品ID对应表存放的信息仅作为翻译使用,启用与否也不影响翻译。
系统将识别到的事件分三个等级:高可疑、中可疑、低可疑三级。响应策略主要有:windows告警、syslog告警、snmptrap告警、发送邮件、短信猫五种。
为各类风险事件设置统一响应策略,并以列表形式展示设置结果,如下图所示:
图5-122风险响应策略
修改响应策略:选择某类事件后点击<确定>按钮可以修改该类事件的响应策略,如下图所示:
图5-123修改
在配置或修改响应策略时,若想选择某种响应策略,需要在[风险响应规则/响应策略配置]页面中先对其进行配置,否则会被告知无法设置。
各类响应策略的参数配置。主要内容如下图所示:
图5-124响应策略配置
图5-125Windows告警配置
参数配置后请点击<测试>按钮进行测试配置是否成功,成功后请点击<保存配置>。
需要配置syslog服务器IP及端口号,当风险事件发生时,系统会发送SYSLOG日志给SYSLOG服务器:
图5-126syslog告警配置
最多支持5个SYSLOG服务器配置且同时发送多服务器,每组服务器配置包含IP地址、端口、编码策略。参数配置后请点击<测试>按钮进行测试配置是否成功,成功后请点击<保存配置>。
注:SYSLOG服务器配置测试,成功提示仅供参考。实际有可能不成功,由于SYSLOG使用的是UDP协议,需到SYSLOG服务器上确认是否接收到SYSLOG日志。
当触发该响应策略的条件时,系统会向指定的邮件服务器发送邮件提醒。各项参数如下图所示:
图5-127邮件服务器配置
参数配置后请点击<测试>按钮进行测试配置是否成功,成功后请点击<保存配置>。若需修改密码,请先勾选<修改密码>后再输入新密码,并点击<保存配置>。
配置SNMPTRAP告警的基本信息,如下图所示:
图5-128SNMPTRAP配置
·IP地址:配置SNMPTRAP服务器的IP地址。
·端口:配置SNMPTRAP端口信息。
·版本:配置SNMPTRAP相对应的版本信息。
可将SNMPTRAP的告警信息发送到SNMPTRAP服务器上,方便查阅!
图5-129短信猫配置
三层关联是对三层审计到的SQL语句及三层审计进行关联规则学习,主要功能是:
(1)学习用户业务环境中已发生的URL和SQL语句的对应关系
(2)通过学习,建立三层审计的关联规则库,将SQL语句与URL进行精确关联
三层关联从两个角度进行关联:与URL关联的SQL,与SQL关联的URL。点击[策略中心/三层关联],打开界面如下图所示:
图5-130三层关联
建立的关联规则库将在“三层关联”页面中引用,对SQL语句与URL进行精确关联后展示给用户。
点击<关联规则学习>按钮,在弹出[关联规则学习]窗口中进行参数设置,如下图所示:
图5-131关联规则学习
学习的数据源必须是过去的、已发生的。
·计划任务
系统已执行了关联规则学习后,对之前设置的数据源进行URL与SQL语句关联的结果将会在三层关联界面中展示,在文本框中输入操作内容可以对结果进行查询。如下图所示:
图5-132关联结果查询
选择某条URL记录后点击<取消关联>按钮,在弹出[确认]对话框中点击<确定>将会取消该关联。
图5-133取消关联
展示与SQL关联的URL数据,也提供了关联规则学习和取消关联的功能。具体操作请查阅本节中的“URL关联”部分。
入侵检测规则提供了针对ORACLE、SQLServer、MySQL三种类型数据库以及其他类型的检测入侵。用户根据需要启用或禁用规则,还可以通过升级攻击规则,完善规则库。打开入侵检测规则,如下图:
图5-134入侵检测规则
入侵检测:针对黑客攻击数据库系统进行发现与告警。
图5-135开启
图5-136关闭
图5-137规则查看
图5-138规则详情
点击<升级版本>,用户可以通过导入的方法升级检测规则库。如下图所示:
图5-139规则升级
点击<恢复默认>,点击<确定>即可恢复默认设置。如下图所示:
图5-140恢复默认
系统自带规则,只能启用或者停用,不能添加或者修改。在左侧选择攻击类型,然后在右侧设置相应的规则,具体的操作有以下几种:
·规则启用
用户可以在右侧中选择不同攻击规则,然后点击<规则启用>即可启用列表中所选规则。
图5-141规则启用
规则被启用并生效后,会提示启用成功,并在规则状态显示启用,如下图所示:
图5-142状态
·规则停用
用户可以在右侧中选择已启用的攻击规则,然后点击<规则停用>即可停用列表中所选中的正在生效的规则。
图5-143规则停用
·全部启用
用户点击<全部启用>按钮,在弹出[确认]框中点击<确定>即可启用列表中所有规则。
图5-144启用
·全部停用
右侧显示的是当前启用的规则列表,可以点击<全部停用>按钮禁用所有正在生效的规则。
图5-145停用
用户通过三层设备访问数据库时,其真实MAC地址将被隐藏,通过交换机信息模块,获取与交换机连接终端的真实IP及MAC地址。通过预先设置的snmp口令,获取交换机上存储的CAM信息。点击<开始扫描>前,需要指定扫描对象,即“激活”交换机。扫描行为将每隔一分钟获取一次数据,新数据将覆盖现有数据。
界面中列出了用户添加的交换机信息。主要信息包括交换机IP、版本号、共同体以及交换机的状态。如下图所示:
图5-146交换机信息
图5-147添加交换机
勾选列表中需要编辑的记录,点击<修改>按钮,在弹出[修改交换机信息]对话框中进行修改后确定即可。
图5-148修改交换机
当不需要使用该交换机时,勾选列表前面复选框后点击<删除>按钮,在弹出[确认]框中点击<确定>即可。
图5-149删除交换机
当需要清空交换机列表时,点击<清空>按钮,在弹出[确认]框中点击<确定>按钮即可。
图5-150清空交换机
交换机扫描主要是对连接到交换机上的PC终端进行扫描,获取PC终端真实的IP、MAC对应关系,并在事件追踪界面中展示中客户端MAC地址一栏展示。如下图所示:
图5-151交换机扫描
交换机的状态有两种:启用、未启用。启用的状态是一把已打开的锁,如下图所示:
图5-152状态
启用:
未启用:
(1)开始扫描
对交换机进行扫描前,请确认交换机的状态是启用的。然后点击界面中<开始扫描>按钮,在弹出[确认]框中点击<确定>后,系统提示开始扫描成功,并对列表中已启用的交换机每隔一分钟自动扫描一次。界面中<开始扫描>按钮自动变更为<停止扫描>。
图5-153扫描
(2)停止扫描
不需要扫描时,点击界面中<停止扫描>按钮即可。
系统管理主要介绍如何了解当前系统的运行状态,系统正常运行需要进行哪些基本配置,介绍系统运行中的各种日志数据,以及审计到的数据如何保管。具体可以分为这几个部分:网络配置、用户管理、系统服务、运行日志、日志响应、调试工具、配置管理、系统信息、管理主机等。
图6-1系统管理
D2000-V、D2000-C系列虚拟数据库审系统仅支持表格模式的网口展示,不支持面板模式的网口展示。
设备的网口配置,可以将网口设置为管理口、监听口。有面板模式和表格模式,面板模式展示与物理设备面板一一对应的网卡模拟展示图,根据实际连线情况实时展示网卡当前接线状态,并以水量方式展示网卡当前负载,鼠标移至网卡会显示该网卡的详细信息。点击左栏菜单[系统管理/网络配置]进入配置界面,如下图所示:
图6-2网络配置
(1)设置/修改IP
图6-3修改
监听网卡无需设置IP。
(2)删除IP
图6-4删除
(3)配置生效
图6-5配置生效
(4)监听网卡设置
设置是否监听该网卡,如下图所示:
图6-6监听网卡设置
(5)开关网卡设置
设置网卡禁用和启用的操作,如下图所示:
图6-7监听网卡设置
(1)添加
图6-8添加路由配置
(2)修改
图6-9修改路由配置
(3)删除
勾选要删除的静态路由,点击<删除>按钮,弹出确认信息,确定后,即可删除静态路由,如下图所示:
图6-10删除路由
·FMT_SMR.1安全角色
在FMT_SMR.1.1中,PP/ST作者应规定系统所认同的角色,就安全而言这些角色是用户可以拥有的角色。例如:拥有者、审计员和管理员。
·FMT_SMR.2安全角色限制
在FMT_SMR.2.3中,PP/ST作者应规定制约角色分配的条件。这些情况的例子如:“一个账户不能同时具有审计员和管理员两种角色”或“具有助理角色的用户也必须具有拥有者角色。”
·FMT_SMR.3承担角色
在FMT_SMR.3.1中,PP/ST作者应规定需要作出明确请求才能承担的角色。例如:审计员和管理员。
系统根据用户的不同角色提供不同的命令集合。
(1)系统管理员(admin):系统默认用户名及密码为:admin/admin,对应GB/T18336中提到的管理员,权限如下:
(2)系统审计员(audit):系统默认用户名及密码为:audit/audit,对应GB/T18336中提到的审计员,权限如下:
·查看其它角色的操作日志信息。
(3)系统安全员(sec):系统默认用户名及密码为:sec/sec,对应GB/T18336中提到的安全员,负责权限如下:
·查看系统状态。
(4)监察员(mon):系统默认用户名及密码为:mon/mon。负责权限如下:
四类角色具有的权限范围不同,具体的权限分配请参考“表1-1各类角色权限分配表”
系统内置了以下四类用户的超级用户,每个用户只能对本组的用户权限管理。例如,系统内置的admin用户只能对系统管理员的用户进行增、删、改,权限分配等管理操作。
图6-11用户管理
(1)添加用户
进入添加用户的操作界面:
图6-12增加用户
左侧是用户基本信息,右侧是权限列表。正确填写各项信息后点击<确定>即可。
(2)修改用户
选择某个已存在的用户,点击<修改用户>按钮,即可对其基本信息和系统权限修改,修改完毕后点击<确定>即完成修改,如下图所示:
图6-13修改用户
(3)删除用户
选择一个或多个已存在的用户,点击<删除用户>按钮,在弹出[确认]框中选择<确定>,将立即删除该用户,如下图所示:
图6-14删除用户
(4)用户状态修改
将鼠标放置在用户状态字段下的锁的图标时,可以修改用户状态,如下图所示:
图6-15修改状态
·口令使用期限:用户口令可使用天数,可设置1-7天。
·最短密码长度:管理员可设置用户设立密码的最短长度(字符)。
·密码中允许同一字符连续出现的最大次数:同一字符在密码中连续出现允许的最大次数,可设置0-9,0表示无限制。
·管理员可配置用户设立密码的复杂度:强制重置密码、小写字母数、大写字母数、数字字符数、非数字非字母字符数、验证码是否启用、弱密码检测是否启用。
类似我们操作系统中的服务管理器,对系统运行产生各种服务进行启用、停用管理和配置。
在左侧菜单栏中点[系统管理/系统服务]进入界面,如下图所示:
图6-17系统服务
点击监听服务操作栏上的重启或者停止按钮,可以对监听服务进行重启和停止。
点击配置按钮,可配置VXLAN端口,支持对VXLAN协议审计。
图6-18监听服务配置界面
没有配置Vxlan端口时,可以审计udp和tcp流量数据。配置了Vxlan端口时,只审计tcp和Vxlan流量数据,因为Vxlan协议的上层协议是udp,这时不会审计非Vxlan的udp流量数据
点击SNMP服务操作栏上的配置按钮,可对SNMP服务进行配置,如下图所示:
图6-19SNMP服务配置
点击SSH服务操作栏上的配置按钮,可对SSH服务进行配置,如下图所示:
图6-20SSH服务配置
如需上传用户已认证的SSL证书,替换系统SSL证书,可点击HTTPS服务操作栏上的<上传用户证书>按钮,在[上传用户证书]配置框中,
·输入要上传的SSL证书私钥的密码,如无密码可不填;
·点击上传证书栏的<浏览>按钮,上传SSL证书文件,证书文件后缀需为crt或pem;
·点击上传私钥栏的<浏览>按钮,上传私钥文件,私钥文件后缀需为key。
·点击<确认>按钮上传证书,若成功上传,页面将进行成功提示,并在约30秒后自动刷新。如下图所示:
图6-21上传用户证书
如需恢复系统默认SSL证书,可点击HTTPS服务操作栏上的<恢复默认证书>按钮,在确认框中点击<确认>按钮。若成功恢复,页面将进行成功提示,并在约30秒后自动刷新。如下图所示:
图6-22恢复默认证书
1、私钥格式说明:证书私钥格式必须符合RFC8017协议和RFC5958协议,以BEGINRSAPRIVATEKEY或BEGINPRIVATEKEY开头,严格匹配,否则将导致证书上传失败。建议使用opensslrsa和opensslgenpkey两种命令生成私钥。
2、证书错误恢复措施:物理设备因证书上传错误导致页面无法访问时,可通过串口执行restore_ssl命令恢复默认证书;虚拟数据库审计暂无恢复措施,请谨慎进行上传用户证书操作。
运行日志记录了系统自身运行过程中的日志,包括正常运行日志、系统异常日志、其它运行日志。在此页面可以分类查询,或导出、删除日志。
(1)正常运行日志:系统CPU、内存、存储空间等系统运行参数正常,系统正常运行。
(2)系统异常日志:系统无法正常运行。
(3)其它运行日志:除正常运行日志和系统异常日志外的其它运行日志。
点击[系统管理/运行日志],进入界面如下图所示:
图6-23运行日志
点击<导出当前日志(最多600条)>按钮,提供可选加密功能,在弹出密码设置框中,选择是否加密,即可导出日志。可以最多导出600条当前所有系统日志包括正常运行、系统异常及其它运行日志,导出日志的格式为CSV格式。
图6-24导出
图6-25未设置压缩密码
图6-26已设置压缩密码
点击<导出选中日志>按钮,提供可选加密功能,在弹出密码设置框中,选择是否加密,即可导出所选的运行日志。可以导出勾选的系统日志包括正常运行、系统异常日志及其它运行日志,导出日志的格式为CSV格式。
图6-27下载加密选择
图6-28未设置压缩密码
图6-29已设置压缩密码
点击<删除日志>按钮,在弹出[删除日志]框中选择需要保留的最近N(整数)天日志(即删除N天之前的所有日志),再选择删除的日志类型,点击<确定>后立即执行删除操作。
图6-30删除
日志可以被删除,但是删除日志的行为将会被记录到操作日志。
为不同类型的系统日志设置响应策略,一旦发现危险的日志行为将会发出告警。点击左栏菜单中的[系统管理/日志响应],进入界面如下图所示:
图6-31日志响应
选择某类日志类型后,点击<修改>按钮在弹出[修改系统日志响应策略]框中修改响应策略,点击<确定>按钮后即可保存配置。如下图所示:
图6-32修改
系统为管理员提供了两个调试工具分别是ping和sniffer。
点击右上角的“系统管理”,然后在左栏菜单[系统管理/调试工具]进入界面,如下图所示:
图6-33调试工具
具体作用如下:
图6-34分析结果
图6-35分析结果
对系统各项基本参数进行备份管理。点击[系统管理/配置管理]进入配置管理界面,如下图所示:
图6-36配置管理
备份当前所有的配置,方便下次恢复。支持备份项的自由选择,可根据所需进行备份。
图6-37备份
导入之前的备份配置文件。
图6-38导入
下载系统已有的备份文件,用于下次恢复到某时期的系统配置。勾选某备份的配置记录,点击<下载配置>,在弹出框中点击<保存>,将配置文件保存到指定目录中。
图6-39下载
将系统的配置恢复到某个版本。选择某个配置备份记录,点击<恢复配置>在弹出[选择要恢复的配置]选择相应项,然后点击<确认>,当前的系统配置将恢复到该配置。默认不选择网络配置、管理主机的配置,恢复可能导致系统无法访问,需谨慎选择。
图6-40恢复配置
删除配置文件。选择某个配置备份记录后,点击<删除配置>后,将会在系统中删除该配置备份文件。
图6-41删除
将系统的配置清空,恢复到出厂设置。点击<清空配置>后,在弹出[确认]框中点击<确定>,系统将恢复到默认配置。
图6-42清空配置
将系统的审计数据全部清空。点击<清空数据>后,在弹出[确认]框中点击<确定>,系统将清空全部的审计数据。
图6-43清空数据
(1)手动同步
图6-46手动同步
(2)自动同步
·从网络上同步
图6-47NTP服务
·从数据库服务器上同步
图6-48更改
(3)不自动同步
产品信息中可以对系统进行升级和硬件注册。
(1)系统升级
点击界面中的<升级>按钮,可以找到本地已有的升级文件,对系统进行升级,如下图所示:
图6-49系统升级
点击产品信息中<升级>按钮,会弹出[系统升级]界面,如下图所示:
图6-50升级
(2)下载升级日志
产品信息中可以下载系统更新日志并提供日志可选加密功能,点击<下载升级日志>按钮,弹出密码设置框,选择是否加密后,即可下载系统更新日志,如下图所示:
图6-51查看日志
图6-52未设置压缩密码
图6-53已设置压缩密码
对主机进行管理,点击左栏菜单[系统管理/管理主机]进入界面,IPv4与IPv6操作步骤相同,以添加IPv4地址管理主机为例,操作如下图所示:
图6-56管理主机
管理主机中配置IP及MAC地址时,只允许同网段情况使用。
注意,如果配置管理主机后,需要将安装了录屏工具和安装了流量探针的设备ip加入到管理主机中,不然会影响功能使用。
从数据库审计系统对外发起的连接(如FTP归档文件外传、发送报表邮件、调试工具的ping功能等),不受管理主机列表及“开启远程调试端口”勾选状态影响;
直连数据库审计系统的检修口(1.0.0.1),不受管理主机列表及“开启远程调试端口”勾选状态影响;
已与数据库审计系统建立的连接(如ssh连接或对审计设备数据库的连接),不会因管理主机功能或“开启远程调试端口”勾选状态变化而中断。
点击<添加>按钮后,填入IPv4地址、子网掩码、MAC地址、是否生效、描述即可。如下图所示:
图6-57添加
选择某个管理主机,点击<修改>按钮后,在弹出[修改管理主机]窗中修改主机信息,如下图所示:
图6-58修改
选择某个管理主机,点击<删除>按钮后,在弹出[确认]窗口中点击<确定>即可删除该管理主机,如下图所示:
图6-59删除
管理主机添加记录时,“是否生效”选项默认为“失效”。若要使管理主机生效,有两种方式,一种是在添加/修改管理主机时将其设置为“生效”并成功保存。另外一种是在列表中勾选“失效”状态的管理主机后,点击<生效>按钮,系统提示“设置生效成功”,即可生效。若要使管理主机失效,同理也有两种方式,一种是在添加/修改管理主机时将其设置为“失效”。另一种是在列表中勾选“生效”状态的管理主机后,点击<失效>按钮,系统提示“设置失效成功”,即可失效。
该选项默认勾选,取消勾选并<保存配置>后,将有以下效果:
(1)其它主机无法通过ssh服务连接数据库审计系统后台。
(2)其它主机无法连接数据库审计系统的数据库。
(3)其它主机无法ping通数据库审计系统。
恢复勾选该选项并<保存配置>后,即可恢复。
图6-60操作日志
图6-61导出当前日志(最多600条)
图6-62未设置压缩密码
图6-63已设置压缩密码
图6-64导出选中日志
图6-65未设置压缩密码
图6-66已设置压缩密码
点击<删除日志>按钮,在弹出[删除日志]框中设置删除条件即可删除对应的日志信息。如下图所示:
图6-67删除日志
(2)用户退出日志:系统所有用户退出系统的所有动作将记录于此。
(3)配置修改日志:用户的系统配置操作内容都将被记录下。
实现归档数据的管理,包括四个方面的内容:归档参数配置、归档文件管理、回档数据挂载配置、日志保存周期设置。
点击[系统管理/数据归档],界面如下图所示:
图6-68数据归档
以列表的形式展示归档的文件,还能手动对归档文件进行删除和下载。如下图所示:
图6-69管理
在列表中勾选某个归档文件后,点击<删除>按钮,在弹出框中点击<确定>即可删除该归档文件。
图6-70删除
在列表中选择一个归档文件,点击<下载>,如下图所示:
图6-71下载
归档文件安全性设置,可对系统每日的归档文件设置密码加密,包含系统默认密码、自定义密码两种选择。默认为系统默认密码选项,用户可根据需要自由设置。
当前的归档密码设置,不会改变历史版本已产生的归档文件的加密密码,在历史数据回档客户端解压时,无需填写解压密码(系统默认密码)即可解压。
点击<设置>,如下图所示:
图6-72归档密码设置
(1)系统默认为系统默认密码选项,无需配置;
图6-73系统默认密码
(2)如需自定义加密密码,选择“自定义密码”,点击右侧出现的<密码配置>进入密码设置。首次设置自定义密码时无需输入旧密码,直接输入新密码并确认密码,点击<确定>即可。非首次设置自定义密码,将变为修改密码,需输入旧密码验证。
(3)设置完成后,系统之后新生成的归档文件使用此密码加密,已生成的归档文件不会重新加密。
图6-74配置自定义密码
图6-75归档参数配置
该页面主要提供设置归档文件外传的各项参数以及功能的启用与停用。
·是否外传归档文件:归档文件外传的设置,该功能默认不启用。各项参数如上图所示,其中外传归档文件的服务器类型可选FTP和硬盘共享两种方式,其它参数根据用户需求设置,确保实际可用。
正确填写各项参数后点击<保存配置>按钮即可,页面会提示保存配置成功。
图6-76回档数据挂载配置
此处可配置回档数据挂载功能,各项参数如上图。正确填写各项参数后点击<挂载>按钮即可,系统提示挂载结果。如需修改密码,请先勾选<修改密码>。
图6-77回档数据卸载配置
卸载回档数据,即不再从已配置的服务器读取回档数据。点击<卸载>按钮,系统提示卸载结果。
图6-78回档数据卸载配置
R6206P07及之前版本该功能默认不启用。此外,从R6206P07升级至R6206P08版本的设备,该功能的启用状态继承原有的设置。
SYSLOG配置页面的基础配置包含:服务器IP、端口、SQL语句长度、数据类型以及编码策略。
图7-1基础配置
基础配置信息:
l服务器IP为接收日志信息的SYSLOG服务器的IP地址;
l端口为服务器通讯端口,一般为1~65535的正整数,SYSLOG默认端口为514;
lSQL语句长度为通过SYSLOG可发送的语句长度,最大支持512字节;
l数据类型为系统可发送的数据分类,分为全部数据/告警数据日志发送两种。
l编码策略可选UTF-8或GB2312,默认选择UTF-8
发送字段可根据需求配置,除网络类条件的字段必选外,其它字段均可自由设置。
图7-2发送字段设置
图7-3API数据支撑
图7-4API数据支撑-基本信息
配置项信息:
l存储空间最大值为100g;
l过期小时数最大值为4320小时;
l调用频率最大值为500次/小时;
l应用名称与企业名称只能由中文、字母、数字、下划线组成。
限制说明:
点击<业务系统列表>按钮,切换至[业务系统列表]。管理员根据需求勾选业务系统,此处的业务系统与[策略中心/监听配置/业务系统配置]页面中所有的业务系统一致。界面如下图所示:
图7-5API数据支撑-业务系统列表
点击<数据列表>按钮,切换至[数据列表]。
数据列表为外部设备或平台可从审计系统获取的十种数据类型,分别为: