整理360数据库审计快速安装手册docWord文档格式.docx

整理360数据库审计快速安装手册docWord文档格式.docx

《整理360数据库审计快速安装手册docWord文档格式.docx》由会员分享，可在线阅读，更多相关《整理360数据库审计快速安装手册docWord文档格式.docx（10页珍藏版）》请在冰豆网上搜索。

MASK：

255.255.0.0

用户名：

sysadmin/secadmin/auditadmin

密码：

！

1fw@2soc#3vpn

●设备访问方式：

网络中访问设备的地址，在IE地址栏中输入：

https:

//IP，出现登录界面即表示配置成功

通过ssh客户端登录系统，修改为网络中可访问的地址信息

3修改管理IP

通过网线连接设备管理口，用sysadmin帐号登录设备>

基本配置>

管理口配置，根据客户现场提供的管理IP进行相关配置，点击提交即可：

4添加审计对象（需要监控的服务器）

跟客户沟通了解现场所需监控服务器IP、详细版本及端口号等信息；

之后用secadmin帐号登录系统配置对应审计对象

对象设置>

审计对象>

添加：

5修改审计控制

设备出厂默认是按规则审计，设备上架调试阶段需先修改为全审计：

用secadmin帐号登录系统>

全局参数设置>

审计控制>

选择全部审计点击保存即可：

全部审计：

所有访问数据库服务器的数据均审计入库，在前台可以查看所有操作的审计记录

按规则审计：

只审计匹配规则的访问数据库服务器信息，未匹配规则的数据不审计入库，前台查询记录中只有匹配规则的数据

6查看审计数据

通过以上步骤，基本配置已完成，可以通过auditadmin账号登录系统查看当前的审计数据；

登陆auditadmin>

审计管理>

日常行为查询，点击查询后即可看到审计数据了：

7规则配置

现场根据客户需求进行相关风险规则设置，了解客户应用系统厂商，与客户沟通，需监控哪些关键表，字段信息和重点操作；

7.1规则实例解析

配置流程

◆实例解析

假定需要监控的数据库服务器上数据库中：

涉及的表有：

staff_dict（医院人员表）、outp_bill_item（门诊费用记录表）；

上述表中涉及的字段有：

name（医生姓名）、ordered_by_doctor（开单医生）、item_name（项目名称）、item_price（项目价格）；

也就是但一条语句中同时满足这几张表和字段时进行告警。

需求如下：

1）对上述2张表和4个字段，应用服务器（192.168.1.23）访问的可以不审计，监控select查询操作；

2）对上述2张表和4个字段，192.168.2.0-192.168.2.200网段客户端访问的告警，风险级别为中风险，监控select查询操作；

3）对上述2张表和4个字段，如果是plsql工具操作的告警，风险级别为高风险，监控select查询操作；

4）针对所有表、字段，监控delete、drop、truncate删除操作。

Delete操作风险级别为低风险，drop和truncate操作风险级别为高风险。

根据上述的需求，接下来配置规则（以下配置均在secadmin帐号下完成）：

7.1.1审计对象别名配置

点击“全局参数配置”-“审计对象别名”，打开“审计对象别名”配置界面，点击“添加”，对敏感表、字段设置一个别名，系统可以将表、字段和关键字来配置别名，设置关键字的目的是因为数据库语句中有些英文字符既不是表，也不是字段，这个时候如果要设置别名，就可以通过关键字来定义。

7.1.2访问者别名配置

点击“全局参数配置”-“访问者别名”，打开“访问者别名”配置界面，访问者别名设置，将IP地址翻译成中文，方便在审计结果中直观的看到是谁操作了数据库。

7.1.3进程配置

点击“访问者信息配置”-“进程配置”，打开“进程配置”界面，添加进程集合，进程集合名可以自定义，这里配置为“第三方工具”，然后点“客户端进程”的下拉选项，选择“plsqldev.exe”，最后点“添加”按钮。

一个集合中可以添加多个进程。

7.1.4IP监控配置

点击“访问者信息配置”-“IP监控”，打开“IP监控”配置界面，

先添加应用服务器IP，选择“来访客户IP”，输入应用服务器的IP地址“192.168.1.23”，点“添加”，再点“保存”

继续添加上面需求中提到的IP网段，192.168.2.0-192.168.2.200，类型选择“来访客户网段”，把起始IP和终止IP输入后，点击添加，保存即可。

7.1.5子对象配置

点击“对象配置”-“子对象”，打开“子对象”配置界面，

根据需求中提到的2张表和4个字段，同时满足时告警，他们之间是与（&

）的关系，可以在子对象中进行设置。

如下图所示，多张表或字段用“&

”符合隔开，点击保存即可,

7.1.6规则配置

点击“规则配置”-“规则管理”，打开“规则管理”界面，

针对上述需求：

1）对上述2张表和4个字段，应用服务器（192.168.1.100）访问的可以不审计，监控select查询操作

如下图红框标注的，添加规则名，选择级别为“高级白名单”，操作类型选择“select”，接着在子对象和客户端IP集中选择第二步和第三步添加的集合。

最后保存设置。

添加规则1,级别不审计

2）对上述2张表和4个字段，192.168.2.0-192.168.2.200网段客户端访问的告警，风险级别为中风险，监控select查询操作

添加规则方式同需求1，添加规则名“192.168.2.0网段操作”，设置风险级别“中风险”，选择操作类型“select”，然后调用之前配置的子对象和IP集合，最后保存设置。

如下图所示,

添加规则2，级别中

3）对上述2张表和4个字段，如果是plsql工具操作的告警，风险级别为高风险，监控select查询操作

配置方法同上，

添加规则3，级别高

delete操作风险级别为低风险，drop和truncate操作风险级别为高风险

7.1.7规则组配置

点击“规则配置”-“规则组管理”，打开“规则组管理”界面，

配置规则组是要将双面配置的规则统一加到一个组中管理起来，如下图，先创建一个规则组，输入规则组名，然后保存即可，

添加规则组界面

保存后，双击新建的规则组，把规则加到组中管理，如下图，左边一栏是未选中的规则，右边是已选择规则，将左边规则按着鼠标拖到右边即可统一管理，

规则组管理

7.1.8规则应用到审计对象

打开“对象设置”-“审计对象”，打开“审计对象”界面，选择对应的数据库，点击“应用规则组”，然后选择“某客户规则组”，点击“保存”按钮即可，

将规则应用到审计对象

至此，一个完整的规则配置就完成了。