安恒明御數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品配置指南

1、安恒明御數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品配置指南技術(shù)創(chuàng)新，變革未來(lái)安恒數(shù)據(jù)庫(kù)審計(jì)配置培訓(xùn)典型案例配置培訓(xùn)主要內(nèi)容一、設(shè)備基本配置二、基本審計(jì)配置三、風(fēng)險(xiǎn)告警通知配置四、審計(jì)數(shù)據(jù)查看及分析五、其他常規(guī)配置六、排錯(cuò)平臺(tái)使用一、設(shè)備基本配置1、硬件端口介紹2、網(wǎng)絡(luò)配置a、串口線配置IPb、網(wǎng)線直連配置IP3、設(shè)備角色配置數(shù)據(jù)中心+探測(cè)器、數(shù)據(jù)中心、探測(cè)器三種角色配置4、分布式部署配置5、license導(dǎo)入1、硬件面板端口介紹設(shè)備管理端口(Admin)出廠默認(rèn)IP:00Console口：通用串口管理端口電源指示燈HDD:硬盤(pán)指示燈流量采集口(流量鏡像口）6Step 1 ：使用Console口登錄使用串口線和USB轉(zhuǎn)接線

2、DB的console口和PC的USB口。PC上超級(jí)終端設(shè)置：波特率：115200數(shù)據(jù)位：8奇偶校驗(yàn)：無(wú)停止位：1流量控制：無(wú)Step 2：使用用戶(hù)名/密碼 admin/Dbapp2013登錄方法一：串口線登陸配置2、設(shè)備網(wǎng)絡(luò)配置Step 3 ：選擇1選項(xiàng)，按照提示依次輸入IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS后，根據(jù)提示輸入yes確認(rèn)配置，然后系統(tǒng)自動(dòng)重啟網(wǎng)卡完成修改。8Step 1 ：用一根網(wǎng)線直連admin口使用5類(lèi)線將筆記本直連到設(shè)備的admin口PC上網(wǎng)卡設(shè)置設(shè)置：IP地址：01子網(wǎng)掩碼：Step 2：使用用戶(hù)名/密碼 admin/Dbapp2013方法二：通過(guò)直連管理口登陸配置Step 3

3、：接下來(lái)同串口線配置9Step 1 ：使用串口或者管理口進(jìn)入串口程序，選擇8(設(shè)備身份配置)，進(jìn)入如右圖所示界面：Step 2：選擇1可以把設(shè)備的身份改為純數(shù)據(jù)中心的角色。選擇2可以把設(shè)備身份改為探測(cè)器角色。選擇3可以把設(shè)備身份改為數(shù)據(jù)兼探測(cè)器角色。3、設(shè)備角色配置10Step 3 ：以把身份配置數(shù)據(jù)中心+探測(cè)器為例1、選擇3，代表要將設(shè)備身份更改為：數(shù)據(jù)中心+探測(cè)器2、輸入yes，進(jìn)行確認(rèn)3、輸入本設(shè)備管理口的IP地址114、分布式部署配置數(shù)據(jù)中心12Step 1 ：先將一臺(tái)設(shè)備配置好為數(shù)據(jù)中心。Step 2 ：然后修改其他的設(shè)備身份為探測(cè)器角色，同時(shí)探測(cè)器的數(shù)據(jù)中心IP修改為數(shù)據(jù)中心管理口

4、的IP地址。Step 3 ：保證數(shù)據(jù)中心和探測(cè)器之間網(wǎng)絡(luò)是互通的。Step 4 : 在數(shù)據(jù)中心上添加對(duì)應(yīng)的探測(cè)器，如下圖所示：注意：填寫(xiě)對(duì)應(yīng)探測(cè)器的管理口IP即可135、License導(dǎo)入二、基本審計(jì)配置1、添加探測(cè)器2、添加業(yè)務(wù)主機(jī)群3、開(kāi)啟審計(jì)引擎、掛載采集端口4、配置被審計(jì)服務(wù)器5、配置流量鏡像6、部分?jǐn)?shù)據(jù)庫(kù)特殊配置 SQLserver 用戶(hù)名審計(jì)配置151、添加探測(cè)器登陸系統(tǒng)，在探測(cè)器配置界面，如下圖所示：探測(cè)器IP必填1、發(fā)送最大速率只針對(duì)分布式部署有效2、發(fā)送主目錄和發(fā)送時(shí)間段一般不建議修改162、添加業(yè)務(wù)主機(jī)群選擇相應(yīng)的探測(cè)器，在業(yè)務(wù)主機(jī)群界面，單擊“添加”，如下圖所示：1、業(yè)務(wù)

5、主機(jī)群類(lèi)型一旦選擇之后不能修改173、開(kāi)啟審計(jì)引擎、掛載采集端口配置完業(yè)務(wù)主機(jī)群類(lèi)型之后，要選擇開(kāi)啟審計(jì)引擎，同時(shí)需要掛載采集端口，如下圖所示：點(diǎn)擊保存即可184、配置被審計(jì)服務(wù)器選擇對(duì)應(yīng)的業(yè)務(wù)主機(jī)群，點(diǎn)擊“新增物理端口”按鈕，如下圖所示：被審計(jì)數(shù)據(jù)庫(kù)細(xì)信息雙向?qū)徲?jì)：指請(qǐng)求和返回都審計(jì)19配置完成物理端口后，選擇將要掛載的物理端口，如下圖所示：點(diǎn)擊掛載至此，基本的審計(jì)就配置完成！205、配置流量鏡像以cisco為例配置鏡像，其他交換機(jī)可能稍微會(huì)有些不一樣，具體請(qǐng)查看各個(gè)品牌交換機(jī)的配置手冊(cè)。配置鏡像源端口配置鏡像目的端口配置流量鏡像方向21配置服務(wù)器端口流量鏡像一般注意以下幾點(diǎn)：1、只需要把被

6、審計(jì)服務(wù)器的物理端口(對(duì)外提供服務(wù))的流量鏡像到我們審計(jì)設(shè)備即可，一般不建議把整個(gè)交換機(jī)的流量都鏡像過(guò)來(lái)。2、鏡像要主要是請(qǐng)求和返回，不能鏡像錯(cuò)方向，一般建議選擇both3、如果是虛擬化環(huán)境，如果DB和web之間的通信都是在虛擬機(jī)內(nèi)部完成的，這種是不支持的！4、配置交換機(jī)鏡像一般建議由客戶(hù)方網(wǎng)管進(jìn)行配置，避免因?yàn)閷?duì)客戶(hù)網(wǎng)絡(luò)不熟悉導(dǎo)致的網(wǎng)絡(luò)故障。226、其他數(shù)據(jù)庫(kù)審計(jì)特殊配置由于SQL Server 2005 和2008 會(huì)話(huà)連接過(guò)程都是加密，針對(duì)用戶(hù)名、客戶(hù)端工具名、操作系統(tǒng)主機(jī)名等是沒(méi)法通過(guò)旁路進(jìn)行解密審計(jì)，目前針對(duì)這類(lèi)需求研發(fā)，暫時(shí)通過(guò)在數(shù)據(jù)庫(kù)審計(jì)上配置SQL Server數(shù)據(jù)庫(kù)賬號(hào)和密碼

7、，獲取目標(biāo)數(shù)據(jù)庫(kù)的session信息，以達(dá)到對(duì)用戶(hù)名、客戶(hù)端工具名等的審計(jì)。Step 1: 在SQL server 2005主機(jī)配置中增加用戶(hù)名審計(jì)配置。三、風(fēng)險(xiǎn)告警通知配置1、全局審計(jì)策略配置 全審計(jì)和滿(mǎn)足條件審計(jì)2、普通、特征規(guī)則配置 普通規(guī)則(高、中、低、關(guān)注、不審計(jì))及特征規(guī)則3、告警通知策略配置 Syslog、Email、SNMP、短信、ftp告警通知配置4、規(guī)則白名單配置5、其他策略相關(guān)配置 源IP過(guò)濾、指定源IP審計(jì)、報(bào)文過(guò)濾241、全局審計(jì)策略配置a、全部審計(jì)：指系統(tǒng)無(wú)條件記錄所有的訪問(wèn)記錄b、滿(mǎn)足條件審計(jì)：只審計(jì)滿(mǎn)足指定策略的訪問(wèn)記錄。2、普通、特征規(guī)則配置a、普通審計(jì)規(guī)則：

8、分DB審計(jì)規(guī)則和web審計(jì)規(guī)則b、內(nèi)置特征庫(kù)：只審計(jì)滿(mǎn)足指定策略的訪問(wèn)記錄。26DB審計(jì)規(guī)則配置a、新建規(guī)則組輸入規(guī)則組名稱(chēng)，點(diǎn)擊保存新建規(guī)則組27DB審計(jì)規(guī)則配置b、新建規(guī)則規(guī)則配置界面28Web審計(jì)規(guī)則配置a、新建規(guī)則組b、新建規(guī)則規(guī)則組配置29Web審計(jì)規(guī)則配置web規(guī)則詳細(xì)配置界面30Web審計(jì)規(guī)則配置web審計(jì)規(guī)則樣例31Web審計(jì)規(guī)則配置c、規(guī)則優(yōu)先級(jí)配置同db審計(jì)的規(guī)則優(yōu)先級(jí)，同級(jí)別排在最前面的優(yōu)先級(jí)最高！d、快速加載規(guī)則也同db審計(jì)規(guī)則快速加載32特征規(guī)則庫(kù)a、內(nèi)置特征庫(kù)規(guī)則，同時(shí)包含一些常見(jiàn)web攻擊特征及db攻擊特征的規(guī)則，這些規(guī)則只能禁用和啟用，不能刪除和創(chuàng)建！版本升級(jí)的

9、時(shí)候會(huì)更新特征規(guī)則！3、禁用和啟用特征規(guī)則1、特征規(guī)則2、內(nèi)置特征規(guī)則組333、告警通知配置a、告警通知發(fā)送策略配置配置那些告警行為需要通過(guò)不同的發(fā)送方式發(fā)送給管理員或者管理設(shè)備。b、告警通知發(fā)送方式配置Email、短信，其余syslog、snmp、ftp系統(tǒng)自身無(wú)需認(rèn)證c、告警通知接收配置告警通知接收的目標(biāo)配置(syslog、snmp、ftp)告警通知內(nèi)容及發(fā)送的策略接收者Email、短信發(fā)送syslog、snmp、ftp發(fā)送4、規(guī)則白名單配置作用：屬于具體某個(gè)規(guī)則，從告警規(guī)則的大集合中排除一些可能實(shí)際是合規(guī)的訪問(wèn)行為。分類(lèi)：a、DB審計(jì)白名單b、Web審計(jì)白名單規(guī)則白名單列表規(guī)則已加載白名

10、單審計(jì)規(guī)則列表白名單配置354、規(guī)則白名單配置配置方式：分類(lèi)：a、通過(guò)風(fēng)險(xiǎn)告警直接生成白名單b、在白名單策略直接配置白名單直接根據(jù)風(fēng)險(xiǎn)生成白名單規(guī)則，web和db相同364、規(guī)則白名單配置b、直接配置白名單(DB)在白名單配置直接新增白名單374、規(guī)則白名單配置b、直接配置白名單(web)在白名單配置直接新增白名單385、其他規(guī)則策略配置a、指定源IP地址審計(jì)b、源IP地址過(guò)濾c、報(bào)文過(guò)濾39a、指定源IP地址審計(jì)Step 1:指定源IP審計(jì)Step 2:新增Step 3:配置來(lái)源IP及保存40b、IP過(guò)濾Step 1:IP過(guò)濾Step 2:新增Step 3:配置IP及保存41c、報(bào)文過(guò)濾：只

11、能從審計(jì)記錄中添加報(bào)文過(guò)濾，不支持手工定制過(guò)濾。根據(jù)去參數(shù)化后的SQL模板進(jìn)行過(guò)濾直接生成過(guò)濾模板四、審計(jì)數(shù)據(jù)查看及分析1、審計(jì)數(shù)據(jù)查看2、告警數(shù)據(jù)查看及處理3、報(bào)表數(shù)據(jù)分析4、備份恢復(fù)數(shù)據(jù)查看 431、審計(jì)數(shù)據(jù)查看a、通過(guò)全文檢索引擎進(jìn)行檢索滿(mǎn)足條件的審計(jì)記錄。44b、查看審計(jì)記錄詳細(xì)信息請(qǐng)求sql等信息客戶(hù)端連接信息服務(wù)器信息45c、根據(jù)會(huì)話(huà)查看或回放審計(jì)記錄462、告警數(shù)據(jù)查看及處理a、告警數(shù)據(jù)查看。473、告警數(shù)據(jù)查看及處理b、告警數(shù)據(jù)處理。Step 1Step 2:選擇風(fēng)險(xiǎn)Step 3:處理所選Step 4：處理完成483、報(bào)表數(shù)據(jù)分析a、打開(kāi)系統(tǒng)內(nèi)置的報(bào)表。系統(tǒng)內(nèi)置報(bào)表列表報(bào)表數(shù)據(jù)

12、分析49b、自定義報(bào)表Step 1: 自定義報(bào)表Step 2: 新增報(bào)表Step 3: 報(bào)表內(nèi)容定義50c、報(bào)表自動(dòng)發(fā)送五、其他常規(guī)配置及使用1、用戶(hù)名、角色及安全配置2、數(shù)據(jù)備份及恢復(fù)配置3、三層審計(jì)配置4、堡壘關(guān)聯(lián)配置5、鏡像參數(shù)配置6、系統(tǒng)操作日志查看7、自動(dòng)清理配置8、業(yè)務(wù)數(shù)據(jù)清除及恢復(fù)出廠設(shè)置521、用戶(hù)名、角色及安全配置a、用戶(hù)配置b、角色配置c、安全配置532、數(shù)據(jù)備份及恢復(fù)配置a、自動(dòng)備份及恢復(fù)（針對(duì)審計(jì)數(shù)據(jù)）b、手工備份及恢復(fù) （針對(duì)配置數(shù)據(jù)）3、三層審計(jì)配置/index.php?id=1select * from test where id =1 應(yīng)用賬號(hào)：jamm2010

13、DB賬號(hào)：system優(yōu)勢(shì)：國(guó)內(nèi)少數(shù)同時(shí)支持Agent和旁路學(xué)習(xí)兩種三層關(guān)聯(lián)算法的審計(jì)產(chǎn)品Agent方式支持java語(yǔ)言開(kāi)發(fā)的三層B/S系統(tǒng)100%準(zhǔn)確關(guān)聯(lián)旁路學(xué)習(xí)方式最高支持80%關(guān)聯(lián)率，70%-90%關(guān)聯(lián)準(zhǔn)確度支持自定義B/S用戶(hù)名提取56a、三層審計(jì)自動(dòng)建模及手工關(guān)聯(lián)分析4、堡壘關(guān)聯(lián)加密審計(jì)605、鏡像模式配置鏡像模式分：普通、trunk、混合三種，一般情況下如果鏡像流量不高，建議直接使用混合，如果流量比較高，最好是按照實(shí)際情況配置。選擇鏡像參數(shù)，然后保存即可616、系統(tǒng)操作日志系統(tǒng)操作日志：也叫自身審計(jì)日志，主要是管理員及其他人員對(duì)數(shù)據(jù)庫(kù)審計(jì)設(shè)備的所有訪問(wèn)記錄。627、自動(dòng)清理配置自動(dòng)清理：系統(tǒng)自動(dòng)的完成對(duì)審計(jì)數(shù)據(jù)進(jìn)行管理，在這里是需要配置動(dòng)態(tài)管理策略的閾值！638、業(yè)務(wù)數(shù)據(jù)清除及恢復(fù)出廠設(shè)置業(yè)務(wù)數(shù)據(jù)清理：只清除審計(jì)的業(yè)務(wù)數(shù)據(jù)，不刪除配置。恢復(fù)出廠設(shè)置：刪除所有配置及審計(jì)數(shù)據(jù)。六、故障排查平臺(tái)使用1、一鍵檢測(cè)2、鏡像內(nèi)容分析及抓包3、系統(tǒng)配置核對(duì)4、系統(tǒng)日志查看5、服務(wù)管理6、全文索引管理651、一鍵檢測(cè)662、鏡像內(nèi)容分析及抓包Step 1:選擇物理端口Step 2:根據(jù)過(guò)濾條件開(kāi)始數(shù)據(jù)采集Step 3:流量分析和