360数据库审计快速安装手册

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网神SecFox安全审计系统快速安装操作手册
1安装设备
●设备监听口连接到交换机的镜像口上
●设备的管理口连接到网络中。

2访问设备
●设备初始信息:
IP:10.0.0.1
MASK:255.255.0.0
用户名:sysadmin/secadmin/auditadmin
密码:!1fw@2soc#3vpn
●设备访问方式:
网络中访问设备的地址,在IE地址栏中输入:https://IP,出现登录界面即表示配置成功
通过ssh客户端登录系统,修改为网络中可访问的地址信息
3修改管理IP
通过网线连接设备管理口,用sysadmin帐号登录设备>基本配置>管理口配置,根据客户现场提供的管理IP进行相关配置,点击提交即可:
4添加审计对象(需要监控的服务器)
跟客户沟通了解现场所需监控服务器IP、详细版本及端口号等信息;之后用secadmin帐号登录系统配置对应审计对象
对象设置>审计对象>添加:
5修改审计控制
设备出厂默认是按规则审计,设备上架调试阶段需先修改为全审计:用secadmin帐号登录系统>全局参数设置>审计控制>选择全部审计点击保存即可:
全部审计:所有访问数据库服务器的数据均审计入库,在前台可以查看所有操作的审计记录
按规则审计:只审计匹配规则的访问数据库服务器信息,未匹配规则的数据不审计入库,前台查询记录中只有匹配规则的数据
6查看审计数据
通过以上步骤,基本配置已完成,可以通过auditadmin账号登录系统查看当前的审计数据;登陆auditadmin>审计管理>日常行为查询,点击查询后即可看到审计数据了:
7规则配置
现场根据客户需求进行相关风险规则设置,了解客户应用系统厂商,与客户沟通,需监控哪些关键表,字段信息和重点操作;
7.1 规则实例解析
配置流程
◆实例解析
假定需要监控的数据库服务器上数据库中:
涉及的表有:staff_dict(医院人员表)、outp_bill_item(门诊费
用记录表);
上述表中涉及的字段有:name(医生姓名)、ordered_by_doctor(开单医生)、item_name(项目名称)、item_price(项目价格);
也就是但一条语句中同时满足这几张表和字段时进行告警。

需求如下:
1)对上述2张表和4个字段,应用服务器(192.168.1.23)访问的可以不审计,监控select查询操作;
2)对上述2张表和4个字段,192.168.2.0-192.168.2.200网段客户端访问的告警,风险级别为中风险,监控select查询操作;
3)对上述2张表和4个字段,如果是plsql工具操作的告警,风险级别为高风险,监控select查询操作;
4)针对所有表、字段,监控delete、drop、truncate删除操作。

Delete 操作风险级别为低风险,drop和truncate操作风险级别为高风险。

根据上述的需求,接下来配置规则(以下配置均在secadmin帐号下完成):
7.1.1 审计对象别名配置
点击“全局参数配置”-“审计对象别名”,打开“审计对象别名”配置界面,点击“添加”,对敏感表、字段设置一个别名,系统可以将表、字段和关键字来配置别名,设置关键字的目的是因为数据库语句中有些英文字符既不是表,也不是字段,这个时候如果要设置别名,就可以通过关键字来定义。

7.1.2 访问者别名配置
点击“全局参数配置”-“访问者别名”,打开“访问者别名”配置界面,访问者别名设置,将IP地址翻译成中文,方便在审计结果中直观的看到是谁操作了数据库。

7.1.3 进程配置
点击“访问者信息配置”-“进程配置”,打开“进程配置”界面,
添加进程集合,进程集合名可以自定义,这里配置为“第三方工具”,然后点“客户端进程”的下拉选项,选择“plsqldev.exe”,最后点“添加”按钮。

一个集合中可以添加多个进程。

7.1.4 IP监控配置
点击“访问者信息配置”-“IP监控”,打开“IP监控”配置界面,
先添加应用服务器IP,选择“来访客户IP”,输入应用服务器的IP
地址“192.168.1.23”,点“添加”,再点“保存”
继续添加上面需求中提到的IP网段,192.168.2.0-192.168.2.200,类型选择“来访客户网段”,把起始IP和终止IP输入后,点击添加,保存即可。

7.1.5 子对象配置
点击“对象配置”-“子对象”,打开“子对象”配置界面,
根据需求中提到的2张表和4个字段,同时满足时告警,他们之间是与(&)的关系,可以在子对象中进行设置。

如下图所示,多张表或字段用“&”符合隔开,点击保存即可,
7.1.6 规则配置
点击“规则配置”-“规则管理”,打开“规则管理”界面,
针对上述需求:
1)对上述2张表和4个字段,应用服务器(192.168.1.100)访问的可以不审计,监控select查询操作
如下图红框标注的,添加规则名,选择级别为“高级白名单”,操作类型选择“select”,接着在子对象和客户端IP集中选择第二步和第三步添加的集合。

最后保存设置。

添加规则1,级别不审计
2)对上述2张表和4个字段,192.168.2.0-192.168.2.200网段客户端访问的告警,风险级别为中风险,监控select查询操作
添加规则方式同需求1,添加规则名“192.168.2.0网段操作”,设置风险级别“中风险”,选择操作类型“select”,然后调用之前配置的子对象和IP集合,最后保存设置。

如下图所示,
添加规则2,级别中
3)对上述2张表和4个字段,如果是plsql工具操作的告警,风险级别
为高风险,监控select查询操作
配置方法同上,
添加规则3,级别高
4)针对所有表、字段,监控delete、drop、truncate删除操作。

delete 操作风险级别为低风险,drop和truncate操作风险级别为高风险
7.1.7 规则组配置
点击“规则配置”-“规则组管理”,打开“规则组管理”界面,
配置规则组是要将双面配置的规则统一加到一个组中管理起来,如下图,先创建一个规则组,输入规则组名,然后保存即可,
添加规则组界面
保存后,双击新建的规则组,把规则加到组中管理,如下图,左边一栏是未选中的规则,右边是已选择规则,将左边规则按着鼠标拖到右边即可统一管理,
规则组管理
7.1.8 规则应用到审计对象
打开“对象设置”-“审计对象”,打开“审计对象”界面,选择对应的数据库,点击“应用规则组”,然后选择“某客户规则组”,点击“保存”按钮即可,
将规则应用到审计对象
至此,一个完整的规则配置就完成了。

相关文档
最新文档