Guardium培訓(xùn)_第1頁
Guardium培訓(xùn)_第2頁
Guardium培訓(xùn)_第3頁
Guardium培訓(xùn)_第4頁
Guardium培訓(xùn)_第5頁
已閱讀5頁,還剩70頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、 Information ManagementGuardium數(shù)據(jù)監(jiān)控和審計數(shù)據(jù)監(jiān)控和審計Information ManagementGuardium簡介Guardium監(jiān)控和審計架構(gòu)實現(xiàn)Guardium安裝和配置Guardium策略、警報和審計報告Guardium審計監(jiān)控典型應(yīng)用講解Guardium服務(wù)器容量評估和擴展架構(gòu)Guardium日常運行維護AgendaInformation ManagementGuardium是什么是一個打包了軟件、操作系統(tǒng)和硬件的解決方案從硬件的角度來說就是個PC Server軟件是Tomcat + MySQL及探針操作系統(tǒng)是Redhat內(nèi)核,經(jīng)過封裝,提供了一

2、些用戶接口Information Management硬件配置 兩塊300G1T的盤做RAID1 CPU 建議8core以上 內(nèi)存 Guardium8.1的最佳配置是16G,9.1版本建議32G 網(wǎng)卡 如果有萬兆網(wǎng)卡最好,如果沒有也可以用千兆Information Management軟件Guardium可以看做是一個報表系統(tǒng)是Tomcat + MySQL組成的一個報表平臺,Tomcat提供應(yīng)用服務(wù),MySQL提供數(shù)據(jù)存儲;同時提供了警報、工作流等功能主要是對收集的數(shù)據(jù)包進行拆分、解析,按條件存儲,提供查詢。探針I(yè)nformation Management操作系統(tǒng) Redhat內(nèi)核 在Guar

3、dium8.1是Redhat4.x的內(nèi)核,只有32位 現(xiàn)在Guardium9.1是Redhat5.x的內(nèi)核,支持64位,性能上更強Information Management為什么需要Guardium?Information Management 2010 Verizon數(shù)據(jù)泄漏評估報告http:/ 數(shù)據(jù)泄漏在各行業(yè)的分布 數(shù)據(jù)庫服務(wù)器 占受損失記錄的 92%Information Management70%70%以上以上ITIT風(fēng)險屬操作風(fēng)險,該風(fēng)險的最大漏洞在數(shù)據(jù)庫風(fēng)險屬操作風(fēng)險,該風(fēng)險的最大漏洞在數(shù)據(jù)庫 隨著企業(yè)業(yè)務(wù)對IT系統(tǒng)的依賴程度越來越高,IT風(fēng)險對業(yè)務(wù)風(fēng)險的影響也越來越大。而IT

4、風(fēng)險中70%以上屬于操作風(fēng)險,即由人工操作不當(無意或故意)引起的風(fēng)險。因此,有效地控制IT風(fēng)險,尤其是操作風(fēng)險,對企業(yè)的安全運營至關(guān)重要。3/4的企業(yè)不清楚特權(quán)用戶(DBA等)對數(shù)據(jù)庫進行過何種操作2/3的企業(yè)不能有效防止特權(quán)用戶對數(shù)據(jù)庫的非授權(quán)訪問85%的成員將真實數(shù)據(jù)不加防范地交與開發(fā)人員或第三方人員將近一半的成員對其非特權(quán)用戶訪問敏感數(shù)據(jù)毫無措施Source: 2010 Independent Oracle User Group (IOUG) Data Security Survey, based on survey of 430 members. http:/ Management數(shù)

5、據(jù)庫監(jiān)控數(shù)據(jù)庫監(jiān)控及及審計市場領(lǐng)導(dǎo)地位審計市場領(lǐng)導(dǎo)地位-Guardium-GuardiumInformation ManagementGuardium簡介Guardium監(jiān)控和審計架構(gòu)實現(xiàn)Guardium安裝和配置Guardium策略、警報和審計報告Guardium審計監(jiān)控典型應(yīng)用講解Guardium服務(wù)器容量評估和擴展架構(gòu)Guardium日常運行維護AgendaInformation ManagementInformation ManagementInformation ManagementInformation ManagementGuardium簡介Guardium監(jiān)控和審計架構(gòu)實現(xiàn)Gu

6、ardium安裝和配置Guardium策略構(gòu)建及監(jiān)視器警報配置Guardium審計監(jiān)控典型應(yīng)用講解Guardium服務(wù)器容量評估和擴展架構(gòu)Guardium日常運行維護AgendaInformation ManagementInformation Management安裝后基礎(chǔ)配置 端口鏡像及管理IP 網(wǎng)絡(luò)設(shè)置 系統(tǒng)日期時間設(shè)置 配置NTP Server等等,查看安裝配置文檔Information Management用戶在虛擬機上進行安裝配置練習(xí)安裝后基礎(chǔ)配置Information ManagementGuardium簡介Guardium監(jiān)控和審計架構(gòu)實現(xiàn)Guardium安裝和配置Guardi

7、um策略、警報和審計報告Guardium審計監(jiān)控典型應(yīng)用講解Guardium服務(wù)器容量評估和擴展架構(gòu)Guardium日常運行維護AgendaInformation Management數(shù)據(jù)流入 對于SPANPORT模式,數(shù)據(jù)包的流入是無條件的,不可篩選 數(shù)據(jù)從交換機端口鏡像至Guardium的網(wǎng)絡(luò)接口,無條件流入Guardium服務(wù)器,在Guardium內(nèi)部進行過濾、解析、分流、篩選、整理,存儲 ;初步過濾由Inspection Engine控制;對于關(guān)注的數(shù)據(jù)內(nèi)容,并作出對應(yīng)的反應(yīng)由策略來管理 對于STAP模式,可以選擇從源端(被監(jiān)控庫)收集或拋棄哪些數(shù)據(jù)包;數(shù)據(jù)流入Guardium服務(wù)器后

8、的處理方式,與SPANPORT模式相同Information ManagementInformation ManagementInspection Engine Information ManagementPolicyInspection Engine經(jīng)過初步過濾的數(shù)據(jù)包,下一步如何處理 構(gòu)建策略GUI界面策略配置入口:Monitor/Audit - Build Audit Policies或是, Tools - Policy BuilderInformation ManagementPolicy - RuleInformation ManagementPolicy - RuleInforma

9、tion Management配置完成的RuleInformation ManagementRule展開 Rule - ActionsInformation Management用戶進行Policy和Rule配置練習(xí)Policy - RuleInformation Management29 一系列反映“最佳做法”的合規(guī)報表 數(shù)百個預(yù)先配置的關(guān)于數(shù)據(jù)隱私、SOX和PCI的報表 基于行業(yè)的最佳做法簡便的自定義報表 ( 提供智能鉆取分析功能)識別異?;顒拥拈y值 可以由沒有DBA經(jīng)驗的負責(zé)安全的人員管理客戶端客戶端IP服務(wù)器服務(wù)器IP 數(shù)據(jù)庫類型數(shù)據(jù)庫類型 執(zhí)行的命令執(zhí)行的命令總執(zhí)行次數(shù)總執(zhí)行次數(shù)審計

10、監(jiān)控典型應(yīng)用審計監(jiān)控典型應(yīng)用 審計報告審計報告Information Management集中展示企業(yè)內(nèi)各異構(gòu)數(shù)據(jù)庫的授權(quán)變更報告集中展示企業(yè)內(nèi)各異構(gòu)數(shù)據(jù)庫的授權(quán)變更報告了解DBA過去一周給哪些用戶賦了哪些權(quán)限,是否合規(guī)?各數(shù)據(jù)庫各數(shù)據(jù)庫一網(wǎng)打盡一網(wǎng)打盡Information Management關(guān)鍵點:關(guān)鍵點: 審計報告的可理解性審計報告的可理解性Information Management審計監(jiān)控典型應(yīng)用審計監(jiān)控典型應(yīng)用 日常審計報告日常審計報告Information Management輸出報告樣例輸出報告樣例: 圖表圖表Information Management輸出報告樣例輸出報告樣

11、例: ExcelInformation Management報告輸出樣例:報告輸出樣例: PDF格式格式Information ManagementAlertInformation ManagementAlert 通過SMTP發(fā)警報郵件Information Management 實時警告 很多組織機構(gòu)都禁止其員工(以及黑客)檢索過多的潛在敏感數(shù)據(jù),如果出現(xiàn)這種情況,則會發(fā)出警告,以便他們可以快速地調(diào)查和確定是否發(fā)生了嚴重的違規(guī)行為。 執(zhí)行該操作的一個方法是根據(jù) “受影響的記錄” 策略的訪問規(guī)則中創(chuàng)建一個閾值。 先決條件:先決條件: 創(chuàng)建一組您要對其發(fā)出警告的敏感數(shù)據(jù)對象。審計監(jiān)控典型應(yīng)用審計

12、監(jiān)控典型應(yīng)用 實時警告實時警告Information Management審計監(jiān)控典型應(yīng)用審計監(jiān)控典型應(yīng)用 實時警告實時警告確保您的系統(tǒng)配置針對所有檢查引擎啟用了 Inspect Returned Data 和 Log Records Affected。Information Management 在任何數(shù)據(jù)庫用戶對敏感數(shù)據(jù)對象的讀取記錄的數(shù)量超過 200 時發(fā)出警告審計監(jiān)控典型應(yīng)用審計監(jiān)控典型應(yīng)用 實時警告實時警告Information Management 有人從應(yīng)用服務(wù)器以外的地方使用專用口令訪問數(shù)據(jù)庫!Application Server44Database Serv

13、er6App User服務(wù)器服務(wù)器IP用戶用戶客戶端客戶端IP審計監(jiān)控典型應(yīng)用審計監(jiān)控典型應(yīng)用 實時警告實時警告Information Management審計監(jiān)控典型應(yīng)用審計監(jiān)控典型應(yīng)用 特權(quán)用戶行為監(jiān)控特權(quán)用戶行為監(jiān)控 特權(quán)用戶行為監(jiān)控特權(quán)用戶行為監(jiān)控 因為特權(quán)用戶擁有對數(shù)據(jù)庫的較大訪問權(quán)限,一些組織機構(gòu)要求詳細監(jiān)視管理用戶(特權(quán)用戶)的任何活動 先決條件:先決條件: (1)創(chuàng)建如上所述的一個 特權(quán)用戶組(其中包括您認為是 “特權(quán)用戶” 的任何人)。 (2)創(chuàng)建一個敏感對象組 (3)創(chuàng)建一個敏感操作命令組 建立策略,當特權(quán)用戶用敏感操作命令訪問敏感對象組時,記錄詳細信息并

14、發(fā)出警報Information Management “監(jiān)視/審計”-“報告構(gòu)建”-“組構(gòu)建器” 構(gòu)建敏感對象組,如XXXX_Sensitive_Tables審計監(jiān)控典型應(yīng)用審計監(jiān)控典型應(yīng)用 特權(quán)用戶行為監(jiān)控特權(quán)用戶行為監(jiān)控Information Management用戶進行配置練習(xí)審計監(jiān)控典型應(yīng)用審計監(jiān)控典型應(yīng)用 特權(quán)用戶行為監(jiān)控和報警特權(quán)用戶行為監(jiān)控和報警 Information Management終止對敏感對象的非法訪問阻斷!阻斷!敏感數(shù)據(jù)組敏感數(shù)據(jù)組 其他功能其他功能 通過通過S-TAP實現(xiàn)實時阻斷實現(xiàn)實時阻斷Information ManagementNoel Yuhanna, F

15、orrester, “Database Security: Market Overview,” Feb. 09Session TerminatedHold SQLConnection terminatedPolicy Violation:Drop ConnectionIssue SQLCheck PolicyOn Appliance46Oracle, DB2, MySQL, Sybase, etc.SQLApplication ServersS-GATEPrivileged Users其他功能其他功能 通過通過S-TAP實現(xiàn)實時阻斷實現(xiàn)實時阻斷Information Management兩種阻

16、斷方式兩種阻斷方式S-TAPSQLCheck PolicyOn CollectorPartial results setPolicy ViolationDrop ConnectionNo latencyConnectionTerminatedCritical businessApplication serversS-TAP Terminate No Latency, limits riskDatabaseServerDatabaseSQLHold SQLCheck PolicyOn CollectorPolicy ViolationDrop ConnectionConnection termi

17、natedPrevent DBAs from accessing sensitive dataS-GATE Terminate High security, some latencyInformation ManagementGuardium簡介Guardium監(jiān)控和審計架構(gòu)實現(xiàn)Guardium安裝和配置Guardium策略、警報和審計報告Guardium審計監(jiān)控典型應(yīng)用講解Guardium服務(wù)器容量評估和擴展架構(gòu)Guardium日常運行維護AgendaInformation ManagementGuardium的高可用架構(gòu)SPANPORT模式需要通過F5設(shè)備進行數(shù)據(jù)包在不同Guardium服

18、務(wù)器之間的分發(fā)Information ManagementGuardium容量估計Information ManagementGuardium容量估計Information ManagementInformation Management可擴展的企業(yè)級多層架構(gòu)可擴展的企業(yè)級多層架構(gòu) 集中管理 Policies pushed to collectors from central manager 企業(yè)級匯總分析 Collectors aggregate data to central audit repository 分布式平臺和system Z 統(tǒng)一的數(shù)據(jù)收集結(jié)構(gòu) 強行阻斷(S-Gate) 阻止

19、特權(quán)用戶訪問敏感信息 異構(gòu)的數(shù)據(jù)庫支持 Oracle, DB2, SQL Server, Sybase, etc.Test and DevelopmentIntegration with LDAP, IAM, IBM Tivoli, SIEM, IBM TSM, RemedyInformation ManagementGuardium簡介Guardium監(jiān)控和審計架構(gòu)實現(xiàn)Guardium安裝和配置Guardium策略、警報和審計報告Guardium審計監(jiān)控典型應(yīng)用講解Guardium服務(wù)器容量評估和擴展架構(gòu)Guardium日常運行維護AgendaInformation Management日常

20、維護 基本命令 啟動 重啟Guardium 服務(wù)器 restart system 停止 stop system 重啟GUI服務(wù)器 restart gui 重啟Inspection Core restart inspection-coreInformation Management日常維護 補丁維護檢查現(xiàn)有已安裝補丁show system patch installed P# Who Description Request Time Status100 CLI Guardium Patch Update (GPU) for 2012-11-28 17:09:15 DONE: Patch inst

21、allation Succeeded.107 CLI Source Program Collapse functio 2012-11-28 17:24:14 DONE: Patch installation Succeeded.121 CLI MySql performance fix 2012-11-28 17:29:59 DONE: Patch installation Succeeded.123 CLI Sniffer stack and queue fixes 2012-12-07 11:37:27 DONE: Patch installation Succeeded.在Guardiu

22、m console界面輸入fileserver通過 http:/guardium-ip 訪問,可以Upload Patches選擇合適的補丁上傳,待顯示已上傳成功,關(guān)閉頁面,在console端Enter退出fileserver模式安裝補丁:show system patch availablestore system patch install sys nowInformation Management健康狀況查看 System View-System Monitor Information Management健康狀況查看 Guardium Monitor Information Manag

23、ement系統(tǒng)修復(fù)系統(tǒng)修復(fù) 如果Guardium 的System monitor沒有數(shù)據(jù),且buffer usage monitor也沒有數(shù)據(jù),則嘗試執(zhí)行 restart sniffer_buffer_usage 如果仍沒有數(shù)據(jù),則執(zhí)行 start inspection-core start / restart gui 如果gui界面無法訪問,則執(zhí)行 restart guiInformation Management系統(tǒng)修復(fù)系統(tǒng)修復(fù) 如果數(shù)據(jù)流入但是無法檢索到,可執(zhí)行 restart inspection-engine 最后,再執(zhí)行一次restart stopped_services命令,以免

24、有其他停掉的服務(wù)沒啟動起來Information Management日常維護 排錯在console界面,輸入diag,選擇合適的選項收集數(shù)據(jù)(在Trouble Shooting過程中,根據(jù)實驗室Level 2支持工程師的要求收集數(shù)據(jù))Information Management日常維護 其他調(diào)試工具 IPTRAF 可以給出某指定網(wǎng)絡(luò)端口的網(wǎng)絡(luò)流量Information Management日常維護 數(shù)據(jù)歸檔、備份和清理Information Management日常維護 數(shù)據(jù)歸檔、備份和清理Information Management 用戶練習(xí)熟悉日常維護命令日常維護 日常維護命令I(lǐng)nfor

25、mation ManagementSTAP模式 AIX安裝 AIX上S-TAP安裝 以root用戶按序執(zhí)行下列命令 installp -aX -d /tmp/stap/Native_Installers/ guard-stap-v82_r33264_1-aix-5.3-aix-powerpc.bff SqlGuardInstaller然后,執(zhí)行上述命令在 /usr/local/guardium 目錄中生成的安裝腳本。在安裝過程中,除了需要修改配置文件中如下幾個選項以外,其他均采用默認設(shè)置。 tap_ip= sqlguard_ip= ktap_installed=1Information Man

26、agementSTAP模式 Linux安裝交互模式安裝:./guard-stap-guard-8.0.xx_r20992_1-rhel-5-linux-x86_64.sh - -modules 非交互式安裝./guard-stap-guard-8.0.xx_r20992_1-rhel-5-linux-x86_64.sh - -modules /tmp/modules-guard-8.0.xx_r20992_1.tgz -ni -tls 1 -k -dir /usr/local -tapip 02 -sqlguardip 09Information M

27、anagementSTAP模式 建議安裝模式GIMSteps:1、在Data Server上安裝GIM(Guardium Installation Manager)2、 Guardium GUI,Administration Console-Module Installation-Upload3、將STAP包Upload,然后Import 4、 Administration Console-Module Installation-Setup By Client,輸入DataServer的IP(即安裝了GIM的被監(jiān)控庫),Next,Next5、左側(cè)選擇STAP包,Next6、Informatio

28、n ManagementSTAP模式 建議安裝模式GIMSteps:7、select Client Module Parameters, Apply to Selected8、Apply to Clients,然后點擊 Install /Update,Noew,Accept完成安裝9、Administration Console Module Installation Setup ByClient, 選擇Data ServerIP 點擊information icon,顯示已安裝.Information ManagementGuardium STAP配置Information ManagementGuardium STAP配置Information ManagementS-TAP 啟動停止非GIM安裝:root用戶/etc/inittab文件找到utap:2345:respawn:/usr/local/guardium/guard_stap/guard_stap /usr/local/guardium/guard_stap/guard_tap.ini對改行加注釋(AIX為 :

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論