免费注册
帮助文档(华北一、二)

  • 模块主要功能是规则管理和规则组管理。规则配置流程如图所示:

    A. 操作类型

    访问路径

    点击“规则配置”-“操作类型”,打开“操作类型”界面(应用到规则管理)

    B. 组合规则

    访问路径

    点击“规则配置”-“组合规则”,打开“组合规则”界面。

    此项是配置组合规则或统计规则。组合规则是根据几个规则在一定时间段内被触发是就会触发风险;统计规则是一定时间内一条规则达到触发的次数就会触发风险。

    C. 规则管理

    访问路径

    点击“规则配置”-“规则管理”,打开“规则管理”界面:

    此功能是设置规则,包括风险的级别、何种操作类型以及针对的对象(操作系统主机名、子对象、客户端IP集、客户端进程集、关键字等)。

    针对数据库的操作:各种操作语句,例select、insert、update等,在审计结果中触发对应的操作时,出现告警。

    风险级别:高风险、中风险、低风险、关注行为、一般行为、高级白名单。

    规则属性内容:

    参数

    说明

     操作系统主机名

     客户端的操作系统主机名

     操作系统用户名

     客户端的操作系统用户名

     客户端MAC

     客户端的网卡地址

     操作系统主机名

     详细信息 4.1子对象设置

     进程集合名

     详细信息 3.1进程配置

     客户端IP集

     详细信息请参阅 3.3 IP监控配置中的来访客户IP配置

     数据库账户

     数据库服务器的账户

     来访客户网络

     详细信息请参阅 3.3 IP监控配置中的来访客户网段的配置

     最大操作语句长度

     客户端的最大的操作语句长度,超过此值时,出现告警。

     语句执行回应

     客户端操作数据库的SQL语句的执行回应,结果为成功或失败。

     返回内容

     查询结果返回的行数大于该值时,将报警。

     返回行数或阈值

     设置一个返回结果的行数,当审计到的返回结果行数一致时出现报警

     语句执行时间

     SQL语句中表的操作,当审计结果中执行时间大于该值时,出现告警。

     规则生效时间

     详细信息请参阅 3.4规则生效时间配置

     关键字审计

     关键字之间使用“&”和“|”符号连接,分别表示“与”和“或”的关系,设置关键字后,在审计结果中出现对应的关键字时,会告警。

    D. 白名单管理

    访问路径

    点击“规则配置”-“白名单管理”,打开“白名单管理”界面。

    功能描述

    功能是将某个IP、MAC地址、疑似风险经确认正常的操作语句等加入白名单,在以后的审计中将不做审计,这样可以方便管理员对真正的风险的处理,提高工作效率。手动添加或者在审计结果中右键添加。

    E. 规则组管理

    访问路径

    点击“规则配置”-“规则组管理”,打开“规则组管理”界面,

    功能描述

    “规则组管理”是方便对规则的管理,可以将几个规则一起加入规则组,然后在“对象设置”-“审计对象”中加入该规则组,则规则启用。

    F. 系统语句

    访问路径

    点击“规则配置”-“系统语句”,打开“系统语句”界面:

    功能描述

    “系统语句”是将确认正常的操作的sql语句标注为系统语句,在以后的审计中将不做审计,这样可以方便管理员对真正的风险的处理,提高工作效率。


文档是否已解决您的问题?

  已解决   未解决

如您有其它疑问,您也可以与我们技术专家联系探讨。

联系技术专家