最新数据库审计系统PPT教学教材
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对数据库进行的除增删改查之外的其 他一些操作的匹配,如授权操作 grant.
规则配置说明续
用于匹配用户登录、退出 成功与失败。
与系统设备和敏感数据扫 描模块下的敏感数据发现 结合使用。
执行失败的SQL语句的匹 配审计。
关键字(词 ) 在防火墙模式下对某些语 句进行替换,格式为:原 词/替换词 多个替换词之间使用回车
指定扫描的端口范围,内置 有两个端口组;也可以在高 级中手动设置。
选择要扫描的服务类型 。
数据发现模块续
2、高级配置
自定义添加IP地 址组
自定义添加 端口组
3、开启服务扫描功能
4、在服务下查看服务 扫描结果
配置扫描引擎
数据扫描引擎 1、数据扫描引擎配置
设置要扫描的 数据库
将扫描的敏感 数据自动应用 到规则中
When
Where
What
审计策略设置
数据库
完整审计
审计数据
数据库管理员
策略设置
协议分析
策略匹配
网页告警
邮件告警
专家系统
故障诊断专家
数 据 库 健 康 体 检
故障诊断专家
•操作记录 •FTP/Telnet •业务 •失败SQL
数据安全专家
系统优化专家
统计报表
精准的协议与应用分析
DPI 模式:
数据库防火墙模块续三
7、其它注意事项 ➢先用两台PC分别接设备的eth0、eth1进行模拟测试,若网络能通并可 以正常审计阻断则把设备接入实际网络中。 ➢接入实际网络环境,进行测试;观察网络是否通畅,在检索中查看最新 流量是否有数据。 ➢硬件具有Bypass功能,若设备发生故障,如断电等情况,会自动进入全 通状态。fire1的IP与eth3也就是默认WEB管理IP不能在同一个网段。 ➢可以使用fire1的IP进行WEB管理。
数据发现模块
设备数据发现分为服务扫描和数据扫描两大功能,可分别用于扫描网络中存在 的服务以及核心敏感数据。
服务扫描引擎
1、服务引擎配置
将扫描到的设备自动添加到 加固点。
设置扫描的网段。本网段:只 扫描与设备同网段的服务;选 择IP地址组:选择在高级中添 加的IP地址组。设定网段:手 动指定扫描的网段。
数据库防火墙模块
1、数据库防火墙模块
提供屏蔽、访问控制、阻断功能。
2、设备连接方式
应用服务器
NetEye数据安全平台
DB服务器
2.1防火墙模式将设备串接在网络中在数据库服务器之前,设 备默认第一个、第二个网口为防火墙接口。
2.2在防火墙模式下,WEB页面管理IP使用fire1的IP地址。
3、给fire1配置IP地址。 登录系统管理员进入系统配置=>系统配置=>接口配置=>访 问控制防火墙多路设置。编辑给fire1填写一个IP地址,此IP 地址与eth3管理口IP不可在同一个网段。
*缓存策略设置在通用配置=》采集 器配置模块下。
规则的优先级
4.3对于策略,规则的解释 在策略下添加规则有四种类型,若同一条策略下有多条规则;那么匹 配的优先级为:黑名单=白名单=优先级>无优先级 若有多条无优先级的默认规则那匹配的顺序为从上往下,切默认规则 可以上下调整顺序。
✓黑名单(阻断,记录,具有优先级) 白名单(通过,不记录,具有优 先级) 优先级(优先匹配,具有优先级) ✓默认规则(无优先级)默认规则:可以调换,可以设置很多条;若有多条 默认规则,在上者优先匹配。 ✓黑白名单优先级规则都是具有优先级的当一条策略中有多条具有优先级 的规则的时候匹配顺序从上往下,命中则停止匹配。
全局参数配置
4.4全局参数配置
对应策略配置下的目标表 、表组两个概念;表组是 多个表的集合,用于匹配 SQL语句同时关联多张表 的情况。
存储过程是在数据库端用 于完成特定操作的SQL语 句集,在调用存储过程的 时候是使用的存储过程名 ,这里要填写使用的就是 存储过程名。 数据库列就是数据库表的 列名
数据库Schema集:对于 Oracle可理解为多张表的 集合,对于Mysql数据库 就是数据库名,对于 Sqlserver数据库 Schema就是架构。
规则配置说明
4.5规则配置说明
通过对数据库访问的各种特征如SQL 来源IP、SQL访问的目标数据库表等 ,来组合设置访问匹配规则;达到对 数据库细粒度的访问审计记录告警或 进行访问控制。 增、删、改、查、特权操作、登录、 登出。 一条对数据库的SQL操作,同时(操 作)影响数据库的行数。
数据库审计系统PPT
数据库面临的风险及产品需求
面临的风险
产品需求
完整的数据库审计
对违规事件提示告警 对故障原因定位分析 数据库优化
功能概述
数据库访问审计
审计记录
统计报表
DBA实时监控
异常告警Baidu Nhomakorabea
MS SQL Oracle DB2 Sybase MySQL Informax ftp telnet
Who
数据库防火墙模块续一
4、添加数据库加固点,通用配置 ==》数据库加固点。添加加固点 后添加审计与防火墙功能。
5、添加规则防火墙策略 规则(同审计策略规则) 添加一条策略对查询行为 进行阻断。
数据库防火墙模块续二
6、执行一条select语句查看审计日志 信息
可以看到此条对数据库发起的select语句被成阻断了。还有更多阻 断策略组合请参照数据库审计策略规则进行设置。
IP数据头
源地址
目的地址
L2-L4检测:网络层感知 应用分析准确率高到95%
IP数据内容
TDS、TNS\DRDA\MYSQL\
L7检测:应用层感知
零风险部署
操作界面展示
我的导航 IE窗口式设计
配置审计策略
3、策略 配置 3.1进入审计与防火墙=》策 略中心进行策略配置,点击 添加策略。 3.2在添加的策略下面添加规则 。
3.3设置delete(删除操作) 为高风险。
默认规则
4、数据库审计 – 其他说明
4.1、在规则中若如右图 设置一条默认规则,代表 对于数据库的所有访问都 是记录的。若无审计信息 就要看一下这里是否配置 了规则。
4.2、若无最新流量请查看数 据库引擎是否启动,缓存策 略是否改为了1条,所添加的 策略是否应用到了数据库引 擎。
设置要扫描的数据库 表
敏感数据类型 ,也可以在高 级中自定义敏 感数据类型
配置扫描引擎续一
2、凭证:即数据扫描的范围,可 以根据服务扫描结果进行设定,也 可以自定义进行设置。
规则配置说明续
用于匹配用户登录、退出 成功与失败。
与系统设备和敏感数据扫 描模块下的敏感数据发现 结合使用。
执行失败的SQL语句的匹 配审计。
关键字(词 ) 在防火墙模式下对某些语 句进行替换,格式为:原 词/替换词 多个替换词之间使用回车
指定扫描的端口范围,内置 有两个端口组;也可以在高 级中手动设置。
选择要扫描的服务类型 。
数据发现模块续
2、高级配置
自定义添加IP地 址组
自定义添加 端口组
3、开启服务扫描功能
4、在服务下查看服务 扫描结果
配置扫描引擎
数据扫描引擎 1、数据扫描引擎配置
设置要扫描的 数据库
将扫描的敏感 数据自动应用 到规则中
When
Where
What
审计策略设置
数据库
完整审计
审计数据
数据库管理员
策略设置
协议分析
策略匹配
网页告警
邮件告警
专家系统
故障诊断专家
数 据 库 健 康 体 检
故障诊断专家
•操作记录 •FTP/Telnet •业务 •失败SQL
数据安全专家
系统优化专家
统计报表
精准的协议与应用分析
DPI 模式:
数据库防火墙模块续三
7、其它注意事项 ➢先用两台PC分别接设备的eth0、eth1进行模拟测试,若网络能通并可 以正常审计阻断则把设备接入实际网络中。 ➢接入实际网络环境,进行测试;观察网络是否通畅,在检索中查看最新 流量是否有数据。 ➢硬件具有Bypass功能,若设备发生故障,如断电等情况,会自动进入全 通状态。fire1的IP与eth3也就是默认WEB管理IP不能在同一个网段。 ➢可以使用fire1的IP进行WEB管理。
数据发现模块
设备数据发现分为服务扫描和数据扫描两大功能,可分别用于扫描网络中存在 的服务以及核心敏感数据。
服务扫描引擎
1、服务引擎配置
将扫描到的设备自动添加到 加固点。
设置扫描的网段。本网段:只 扫描与设备同网段的服务;选 择IP地址组:选择在高级中添 加的IP地址组。设定网段:手 动指定扫描的网段。
数据库防火墙模块
1、数据库防火墙模块
提供屏蔽、访问控制、阻断功能。
2、设备连接方式
应用服务器
NetEye数据安全平台
DB服务器
2.1防火墙模式将设备串接在网络中在数据库服务器之前,设 备默认第一个、第二个网口为防火墙接口。
2.2在防火墙模式下,WEB页面管理IP使用fire1的IP地址。
3、给fire1配置IP地址。 登录系统管理员进入系统配置=>系统配置=>接口配置=>访 问控制防火墙多路设置。编辑给fire1填写一个IP地址,此IP 地址与eth3管理口IP不可在同一个网段。
*缓存策略设置在通用配置=》采集 器配置模块下。
规则的优先级
4.3对于策略,规则的解释 在策略下添加规则有四种类型,若同一条策略下有多条规则;那么匹 配的优先级为:黑名单=白名单=优先级>无优先级 若有多条无优先级的默认规则那匹配的顺序为从上往下,切默认规则 可以上下调整顺序。
✓黑名单(阻断,记录,具有优先级) 白名单(通过,不记录,具有优 先级) 优先级(优先匹配,具有优先级) ✓默认规则(无优先级)默认规则:可以调换,可以设置很多条;若有多条 默认规则,在上者优先匹配。 ✓黑白名单优先级规则都是具有优先级的当一条策略中有多条具有优先级 的规则的时候匹配顺序从上往下,命中则停止匹配。
全局参数配置
4.4全局参数配置
对应策略配置下的目标表 、表组两个概念;表组是 多个表的集合,用于匹配 SQL语句同时关联多张表 的情况。
存储过程是在数据库端用 于完成特定操作的SQL语 句集,在调用存储过程的 时候是使用的存储过程名 ,这里要填写使用的就是 存储过程名。 数据库列就是数据库表的 列名
数据库Schema集:对于 Oracle可理解为多张表的 集合,对于Mysql数据库 就是数据库名,对于 Sqlserver数据库 Schema就是架构。
规则配置说明
4.5规则配置说明
通过对数据库访问的各种特征如SQL 来源IP、SQL访问的目标数据库表等 ,来组合设置访问匹配规则;达到对 数据库细粒度的访问审计记录告警或 进行访问控制。 增、删、改、查、特权操作、登录、 登出。 一条对数据库的SQL操作,同时(操 作)影响数据库的行数。
数据库审计系统PPT
数据库面临的风险及产品需求
面临的风险
产品需求
完整的数据库审计
对违规事件提示告警 对故障原因定位分析 数据库优化
功能概述
数据库访问审计
审计记录
统计报表
DBA实时监控
异常告警Baidu Nhomakorabea
MS SQL Oracle DB2 Sybase MySQL Informax ftp telnet
Who
数据库防火墙模块续一
4、添加数据库加固点,通用配置 ==》数据库加固点。添加加固点 后添加审计与防火墙功能。
5、添加规则防火墙策略 规则(同审计策略规则) 添加一条策略对查询行为 进行阻断。
数据库防火墙模块续二
6、执行一条select语句查看审计日志 信息
可以看到此条对数据库发起的select语句被成阻断了。还有更多阻 断策略组合请参照数据库审计策略规则进行设置。
IP数据头
源地址
目的地址
L2-L4检测:网络层感知 应用分析准确率高到95%
IP数据内容
TDS、TNS\DRDA\MYSQL\
L7检测:应用层感知
零风险部署
操作界面展示
我的导航 IE窗口式设计
配置审计策略
3、策略 配置 3.1进入审计与防火墙=》策 略中心进行策略配置,点击 添加策略。 3.2在添加的策略下面添加规则 。
3.3设置delete(删除操作) 为高风险。
默认规则
4、数据库审计 – 其他说明
4.1、在规则中若如右图 设置一条默认规则,代表 对于数据库的所有访问都 是记录的。若无审计信息 就要看一下这里是否配置 了规则。
4.2、若无最新流量请查看数 据库引擎是否启动,缓存策 略是否改为了1条,所添加的 策略是否应用到了数据库引 擎。
设置要扫描的数据库 表
敏感数据类型 ,也可以在高 级中自定义敏 感数据类型
配置扫描引擎续一
2、凭证:即数据扫描的范围,可 以根据服务扫描结果进行设定,也 可以自定义进行设置。