2021SANGFOR數(shù)據(jù)庫安全審計DAS用戶手冊

SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)用戶手冊2019年01月目錄聲明 1前言 2手冊容 2本書定 2標(biāo)志定 3技術(shù)持 3致謝 3第1章制使用 4統(tǒng)態(tài) 6運(yùn)狀態(tài) 6采器態(tài) 7日同狀態(tài) 7據(jù)風(fēng)險 8風(fēng)查詢 8風(fēng)排行 12風(fēng)趨勢 16賬安全 18WEB18志詢 21數(shù)庫計志 21WEB計日志 26管員作志 28表心 30數(shù)庫為行 30數(shù)庫為勢 32新型SQL模板趨勢 33SQL響性分析 34執(zhí)失分析 35登失排行 35SQL句敗行 36吞量析 37SQL句吐行 37SQL句吐勢 38SQL作型量排行 39SQL作型量趨勢 40數(shù)庫戶吐排行 41數(shù)庫戶吐趨勢 42業(yè)主吞量行 43業(yè)主吞量勢 44報收藏 45報訂閱 48略理 56策列表 56審安策略 57權(quán)控策略 66安規(guī)則 69對定義 73IP組 73時對象 74告對象 76審白單 78策高選項 79AF80統(tǒng)理 83部模式 83運(yùn)模式 83數(shù)庫Agent客端部署 86網(wǎng)配置 91靜路由 93業(yè)系統(tǒng) 94系設(shè)置 96序號 96系時間 97管員 97服器置 100告選項 101數(shù)同步 104SNMP107高配置 108系維護(hù) 108備恢復(fù) 109磁空間 113系更新 113系日志 114重操作 116第2章?lián)徬涤冒咐?架用例 體場案例 務(wù)統(tǒng)署虛平臺景例 121全源場案例 123附錄：SANGFOR設(shè)級系的用 128產(chǎn)品級驟 13122前言手冊內(nèi)容第1部分SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)安裝步驟和部署方式。第2部分SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)控制臺的使用。第3部分SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)使用案例。附錄SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)軟件維護(hù)。v2.0.3說明。本書約定1、圖形界面格式約定文字描述代替符號舉例按鈕邊框+陰影+底紋“確定”按鈕可簡化為確定菜單項『』菜單項“系統(tǒng)設(shè)置”可簡化為『系統(tǒng)設(shè)置』連續(xù)選擇菜單項及子菜單項→選擇『系統(tǒng)設(shè)置』→『接口配置』下拉框、單選框、復(fù)選框選項[]復(fù)選框選項“啟用用戶”可簡化為[啟用用戶]窗口名『』如點(diǎn)擊彈出『新增用戶』窗口提示信息“”如提示框中顯示“保存配置成功，配置已修改,需要重啟服務(wù)才能生效，是否立即重啟該服務(wù)?”PAGE10PAGE10第1章控制臺使用SANGFORPCIP。ETH052，此時需要將PC的物理網(wǎng)口與數(shù)據(jù)庫安全審計系統(tǒng)的ETH0口接在同一個交換機(jī)上，后PC配置一個10.252.252.xIP52admin”（。用戶第一次登錄系統(tǒng)時，為確保賬戶安全性，會提示修改初始密碼：建議用戶修改默認(rèn)密碼并保存。用戶輸入錯誤的賬戶密碼信息后，系統(tǒng)會有告警提示：默認(rèn)有6次輸入正確賬戶密碼機(jī)會，如果6次都登錄失敗，系統(tǒng)鎖定1分鐘：建議管理員保存好自定義的賬戶密碼信息，防止泄露遺忘！數(shù)據(jù)庫安全審計系統(tǒng)控制臺支持使用IE/Firefox/Chrome等瀏覽器登錄使用?？刂婆_框架顯示如下圖：系統(tǒng)狀態(tài)運(yùn)行狀態(tài)Dashboard點(diǎn)擊上角 下菜單可以擇表的計，默有當(dāng)天”，“本周”及本”供擇。點(diǎn)擊可添首展的報類系態(tài)“險勢，SQL采集器狀態(tài)『采集器狀態(tài)』展示所有采集器的信息和運(yùn)行狀態(tài)：“在線”表示采集器和管理器通訊正常，“離線”表示采集器和管理器通訊異常。日志同步狀態(tài)『日志同步狀態(tài)』展示設(shè)備日志生成的狀態(tài)和進(jìn)度：數(shù)據(jù)庫風(fēng)險『數(shù)據(jù)庫風(fēng)險』提供管理員查詢和分析有風(fēng)險的數(shù)據(jù)庫操作日志。風(fēng)險查詢『風(fēng)險查詢』提供管理員查詢具有風(fēng)險行為的數(shù)據(jù)庫操作日志：點(diǎn)擊志面的按鈕可以看條志情：點(diǎn)擊上的 可定過濾件進(jìn)篩：「日期時間」查詢?nèi)掌冢憾x查詢?nèi)掌诜秶С侄x起始、結(jié)束時間和時間對象。「過濾選項」支持過濾源IP、客戶端程序、業(yè)務(wù)系統(tǒng)等條件。點(diǎn)擊「源區(qū)域」支持過濾源IP、客戶端程序、源MAC條件。「目的區(qū)域」支持過濾業(yè)務(wù)系統(tǒng)、業(yè)務(wù)主機(jī)端口條件。「操作對象」支持過濾數(shù)據(jù)庫用戶、數(shù)據(jù)庫名、操作類型和表名條件。「影響結(jié)果」支持過濾返回行數(shù)、影響行數(shù)、響應(yīng)時長、響應(yīng)碼條件?！钙渌麠l件」支持過濾策略、規(guī)則、風(fēng)險級別、SQL模板條件。時間排序：支持按時間正序或倒序排列查詢結(jié)果。點(diǎn)擊上的可將前日信導(dǎo)成Excel表格存。風(fēng)險排行『風(fēng)險排行』針對產(chǎn)生風(fēng)險的行為日志做統(tǒng)計排行：數(shù)據(jù)排行的展示方式，可以通過右上角的 進(jìn)行切換，默認(rèn)支環(huán)狀，狀以柱圖的示果。詳細(xì)排行信息在圖形下方展示：點(diǎn)擊 可轉(zhuǎn)具行日志面看點(diǎn)擊 可查行趨圖：點(diǎn)擊上的可從險級源IP務(wù)機(jī)數(shù)據(jù)用和險型PAGE14PAGE14「統(tǒng)計選項」顯示排行，默認(rèn)統(tǒng)計top10，可以根據(jù)實際需要自定義?！溉掌跁r間」查詢?nèi)掌冢憾x查詢?nèi)掌诜秶?，支持定義統(tǒng)計周期、時間和時間對象?！高^濾選項」支持過濾源IP、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫用戶等條件。點(diǎn)擊「源區(qū)域」支持過濾源IP、客戶端程序條件?！改康膮^(qū)域」支持過濾業(yè)務(wù)系統(tǒng)條件?！覆僮鲗ο蟆怪С诌^濾數(shù)據(jù)庫用戶、操作類型條件?！冈敿?xì)信息」支持過濾SQL模板條件。點(diǎn)擊上的可將前日信導(dǎo)生報。點(diǎn)擊上的將前統(tǒng)信作報收。PAGE16PAGE16風(fēng)險趨勢『風(fēng)險趨勢』根據(jù)風(fēng)險行為排行繪制趨勢圖下方險數(shù)以擊查看體險為志：點(diǎn)擊上的 可從險級源IP務(wù)機(jī)數(shù)據(jù)用和險型這些注度行析。過濾選項參考2.2.2風(fēng)險排行章節(jié)。點(diǎn)擊上的可將前日信導(dǎo)生報。點(diǎn)擊上的將前統(tǒng)信作報收。PAGE18PAGE18賬號安全『賬號安全』提供管理員查看賬戶安全策略產(chǎn)生的一些風(fēng)險操作日志：查詢范圍可以選擇最近7天、最近30天或自定義。點(diǎn)擊上的可將前日信導(dǎo)生報。WEB風(fēng)險『WEB風(fēng)險』顯示被檢測到的WEB風(fēng)險日志：設(shè)定查條后點(diǎn)擊 按，詢志：點(diǎn)擊志面的按鈕可以看條志情：非首次檢測到的webshell日志，詳情中則沒有風(fēng)險明細(xì)和sql語句字段urlwebshellurl是webshellurlAFurl。日志查詢『日志查詢』包含『數(shù)據(jù)庫審計日志』，『WEB審計日志』和『管理員操作日志』。數(shù)據(jù)庫審計日志『數(shù)據(jù)庫審計日志』提供管理員查看數(shù)據(jù)庫類型的審計日志。PAGE23PAGE23『日期時間』設(shè)定查詢的時間范圍?！哼^濾選項』提供查詢條件的過濾選項。點(diǎn)擊可顯詳?shù)臑V條類：PAGE24PAGE24設(shè)定查條后點(diǎn)擊 按，詢志：點(diǎn)擊志面的按鈕可以看條志情：點(diǎn)擊上的可將前日信導(dǎo)成格存：點(diǎn)擊 下導(dǎo)日到地，以Excel式存：WEB審計日志『WEB審計日志』提供管理員查看WEB類型的審計日志。『日期時間』設(shè)定查詢的時間范圍?！哼^濾選項』提供查詢條件的過濾選項。點(diǎn)擊可顯詳?shù)臑V條類：設(shè)定查條后點(diǎn)擊 按，詢志：PAGE28PAGE28點(diǎn)擊志面的 按鈕可以看條志情：點(diǎn)擊上的可將前日信導(dǎo)成Excel表格存。管理員操作日志『管理員操作日志』提供管理員查詢管理員操作的日志。PAGE29PAGE29『日期時間』設(shè)定查詢的時間范圍。『過濾選項』提供查詢條件的過濾選項。設(shè)定查條后點(diǎn)擊按，詢志：點(diǎn)擊志面的 按鈕可以看條志情：點(diǎn)擊上的可將前日信導(dǎo)成Excel表格存。報表中心『報表中心』提供管理員對已有的日志進(jìn)行統(tǒng)計整合并生成報表。數(shù)據(jù)庫行為排行『數(shù)據(jù)庫行為排行』對內(nèi)網(wǎng)用戶操作數(shù)據(jù)庫的行為進(jìn)行統(tǒng)計排行。數(shù)據(jù)排行的展示方式，可以通過右上角的 進(jìn)行切換，默認(rèn)支環(huán)狀，狀以柱圖的示果。詳細(xì)排行信息在圖形下方展示：點(diǎn)擊 可轉(zhuǎn)具行日志面看：點(diǎn)擊 可跳到為行趨頁查：數(shù)據(jù)庫行為趨勢『數(shù)據(jù)庫行為趨勢』對內(nèi)網(wǎng)用戶操作數(shù)據(jù)庫的行為繪制趨勢圖進(jìn)行分析。點(diǎn)擊 可轉(zhuǎn)具行日志面看：新型SQL模板趨勢『新型SQL模板趨勢』針對系統(tǒng)建模之外的SQL語句產(chǎn)生趨勢圖：SQL響應(yīng)性能分析『SQL響應(yīng)性能分析』針對業(yè)務(wù)系統(tǒng)響應(yīng)SQL語句的時長占比對系統(tǒng)性能做出分析：點(diǎn)擊可查體SQL模板日：執(zhí)行失敗分析『執(zhí)行失敗分析』包含『登錄失敗排行』和『SQL語句失敗排行』登錄失敗排行『登錄失敗排行』針對登錄數(shù)據(jù)庫系統(tǒng)失敗行為進(jìn)行排行統(tǒng)計：點(diǎn)擊行為次數(shù)下的具體數(shù)值，可以跳轉(zhuǎn)到具體失敗行為日志：SQL語句失敗排行『SQL語句失敗排行』針對SQL語句執(zhí)行失敗行為進(jìn)行排行點(diǎn)擊行為次數(shù)下的具體數(shù)值，可以查看具體SQL語句日志：PAGE37PAGE37吞吐量分析SQL語句吞吐量排行『SQLSQL點(diǎn)擊可查體SQL語句行日：SQL語句吞吐量趨勢『SQL語句吞吐量趨勢』針對SQL的吞吐量繪制趨勢圖：點(diǎn)擊 可查體SQL模板行日：SQL操作類型吞吐量排行『SQL操作類型吞吐量排行』針對SQL的操作類型的吞吐量進(jìn)行排行統(tǒng)計：點(diǎn)擊 可查具體SQL操作型日：SQL操作類型吞吐量趨勢『SQL操作類型吞吐量趨勢』針對SQL的操作類型的吞吐量繪制趨勢圖：點(diǎn)擊 可查具體SQL操作型日：數(shù)據(jù)庫用戶吞吐量排行『數(shù)據(jù)庫用戶吞吐量排行』針對數(shù)據(jù)庫用戶的吞吐量進(jìn)行排行統(tǒng)計：點(diǎn)擊 可查具數(shù)用戶行日：PAGE42PAGE42數(shù)據(jù)庫用戶吞吐量趨勢『數(shù)據(jù)庫用戶吞吐量趨勢』針對數(shù)據(jù)庫用戶的吞吐量繪制趨勢圖：點(diǎn)擊 可查具數(shù)用戶行日：業(yè)務(wù)主機(jī)吞吐量排行『業(yè)務(wù)主機(jī)吞吐量排行』針對業(yè)務(wù)主機(jī)的吞吐量進(jìn)行排行統(tǒng)計：點(diǎn)擊可查具業(yè)主機(jī)行日：PAGE44PAGE44業(yè)務(wù)主機(jī)吞吐量趨勢『業(yè)務(wù)主機(jī)吞吐量趨勢』針對業(yè)務(wù)主機(jī)的吞吐量繪制趨勢圖：點(diǎn)擊可查具業(yè)主機(jī)行日：報表收藏『報表收藏』提供管理員將常用報表歸類收藏，便于后續(xù)直接調(diào)用：點(diǎn)擊 可手添收夾：設(shè)定藏名，擊 保存效：所有已知的報表都可以通過報表頁面右上角的『立即收藏』按鈕添加到指定收藏夾：4646PAGE47PAGE47點(diǎn)擊 收當(dāng)報：點(diǎn)擊按，以擇添加文夾：保存后，可以在報表收藏頁面中找到所收藏的報表：報表訂閱『報表訂閱』提供管理員根據(jù)需求定時自動生成指定報表并導(dǎo)出：點(diǎn)擊 來增表『報表名稱』設(shè)置一個報表名稱?！荷芍芷凇弧爸芷谟嗛啞钡闹芷跁r間，這里可以選擇“每天”，“每周”，“每月”。『訂閱選項』可以設(shè)置報表發(fā)送的郵箱地址，報表生成后會自動發(fā)送到指定郵箱。PAGE50PAGE50可以根據(jù)需求，將左樹中的報表拖拽到右邊空白處進(jìn)行報表拼接：如需計定有表條件可點(diǎn)右角進(jìn)行置：PAGE53PAGE53勾選需量輯報，點(diǎn)擊 ：設(shè)定條后點(diǎn)擊 后保存。點(diǎn)擊可預(yù)當(dāng)設(shè)好的表5454PAGE55PAGE55預(yù)覽有題，擊上方 存前表：保存在表訂列中以到存報點(diǎn)擊可以即成生成功，以擊查看近成表。報表閱表有報都可選擇點(diǎn)開以置動除和支的表數(shù)：策略管理『策略管理』提供管理員策略的配置和管理。策略列表『策略列表』提供管理員添加，刪除，修改，查看策略信息。點(diǎn)擊按，加略：審計安全策略『名稱』策略名稱，管理員可以根據(jù)管理需要自定義?！涸碔P』策略適用的源IP范圍，IP組信息在『策略管理』-『對象定義』-『IP組』中定義后調(diào)用。『業(yè)務(wù)系統(tǒng)』策略適用的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)在『系統(tǒng)維護(hù)』-『部署模式』-『業(yè)務(wù)系統(tǒng)』中定義后調(diào)用?！荷r間』策略生效的時間?！簩徲嫻δ堋话篧EB審計』和『數(shù)據(jù)庫審計』?！篧EB審』于計WEB系，擊 進(jìn)審配置面：『全部審計』默認(rèn)審計WEB系統(tǒng)中全部操作信息。『指定條件』只審計匹配了指定條件的操作信息。點(diǎn)擊按，轉(zhuǎn)『定條』條配頁：『名稱』設(shè)定規(guī)則名稱。『請求方法』默認(rèn)支持“GET”和“POST”兩種請求方法。『URL』需要審計的特定URL地址。『響應(yīng)碼』HTTP協(xié)議頭部狀態(tài)碼，例如200，404，302。『數(shù)庫計用審數(shù)據(jù)系，擊進(jìn)審計置面：『全部審計』默認(rèn)審計數(shù)據(jù)庫系統(tǒng)中全部操作信息?！褐付l件』只審計匹配了指定條件的操作信息。點(diǎn)擊按，轉(zhuǎn)『定條』條配頁：『名稱』設(shè)定規(guī)則名稱?！簛碓础话嚎蛻舳顺绦颉缓汀簲?shù)據(jù)庫用戶』?！嚎蛻舳顺绦颉恢笖?shù)據(jù)庫系統(tǒng)的操作來自客戶端程序，條件設(shè)定可以點(diǎn)擊點(diǎn)擊下菜選客端程類：添加。數(shù)據(jù)用名寫在中?！翰僮鳌话翰僮黝愋汀?，『數(shù)據(jù)庫名』和『表名』?！翰兕愊祪?nèi)多種作型供點(diǎn)擊可根需勾操作類型：『數(shù)庫需審的數(shù)庫件定以點(diǎn)擊下拉單：數(shù)據(jù)名寫在中?！罕怼恍鑼彽拿ㄒ該粝吕瓎危罕砻麑懺谥?。『響應(yīng)時間』數(shù)據(jù)庫處理操作的響應(yīng)時間。『返回行數(shù)』數(shù)據(jù)庫處理操作后返回結(jié)果行數(shù)?！河绊懶袛?shù)』數(shù)據(jù)庫處理操作的影響行數(shù)。『響應(yīng)內(nèi)容』數(shù)據(jù)庫響應(yīng)內(nèi)容可以選擇“審計”或“不審計”。『安全功能』包含『數(shù)據(jù)庫安全』和『賬號安全』。『數(shù)據(jù)安』指對據(jù)庫系的作設(shè)的全規(guī)則點(diǎn)擊添加規(guī)則：勾選要加安規(guī)后點(diǎn)擊保存可。『賬安』針數(shù)庫賬設(shè)的全則點(diǎn)擊添安規(guī)：點(diǎn)擊 添規(guī)：『選擇業(yè)務(wù)主機(jī)』用于設(shè)定規(guī)則名稱和選擇已有的業(yè)務(wù)系統(tǒng)。SQLSQL『完成』系統(tǒng)學(xué)習(xí)登錄成功，失敗的SQL語句后完成規(guī)則的建立?！焊婢瘜ο蟆徽{(diào)用『策略管理』-『對象定義』-『告警對象』中的設(shè)置。權(quán)限控制策略『名稱』策略名稱，管理員可以根據(jù)管理需要自定義?！涸碔P』策略適用的源IP范圍，IP組信息在『策略管理』-『對象定義』-『IP組』中定義后調(diào)用。『業(yè)務(wù)系統(tǒng)』策略適用的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)在『系統(tǒng)維護(hù)』-『部署模式』-『業(yè)務(wù)系統(tǒng)』中定義后調(diào)用?！荷r間』策略生效的時間?！簛碓础话嚎蛻舳顺绦颉缓汀簲?shù)據(jù)庫用戶』?！嚎蛻舳顺绦颉恢笖?shù)據(jù)庫系統(tǒng)的操作來自客戶端程序，條件設(shè)定可以點(diǎn)擊點(diǎn)擊下菜選客端程類：添加。數(shù)據(jù)用名寫在 中?！翰僮鳌话翰僮黝愋汀唬簲?shù)據(jù)庫名』和『表名』。『操類系內(nèi)多種作型供點(diǎn)擊可根需勾操作類型：『數(shù)據(jù)庫名』指需要允許拒絕的數(shù)據(jù)庫名，條件定可以點(diǎn)擊下菜單：數(shù)據(jù)名寫在 中。『表』需允許拒的表，件定以擊下拉單：表名寫在中?！焊婢瘜ο蟆徽{(diào)用『策略管理』-『對象定義』-『告警對象』中的設(shè)置。安全規(guī)則『安全規(guī)則』系統(tǒng)內(nèi)置了多種安全規(guī)則并分類，方便管理員在策略中調(diào)用。點(diǎn)擊可選添規(guī)和類：點(diǎn)擊“添加類別”，可以自定義類別名稱：點(diǎn)擊“添加規(guī)則”，可以自定義規(guī)則：『名稱』設(shè)定規(guī)則名稱?！喊踩悇e』選擇當(dāng)前規(guī)則所屬的安全類別，自定義安全規(guī)則只能選擇自定義安全類別。『規(guī)則描述』定義規(guī)則的詳細(xì)說明。『來源』包含『客戶端程序』和『數(shù)據(jù)庫用戶』。『客戶端程序』指數(shù)據(jù)庫系統(tǒng)的操作來自客戶端程序，條件設(shè)定可以點(diǎn)擊點(diǎn)擊下菜選客端程類：添加?！簲?shù)據(jù)庫用戶』指數(shù)據(jù)庫的操作來自數(shù)據(jù)庫用戶，條件設(shè)定可以點(diǎn)擊下拉菜單：數(shù)據(jù)用名寫在中?！翰僮鳌话翰僮黝愋汀?，『數(shù)據(jù)庫名』和『表名』?！翰兕愊祪?nèi)多種作型供點(diǎn)擊 可根需勾操作型：『數(shù)庫需審的數(shù)庫件定以點(diǎn)擊下拉單：數(shù)據(jù)名寫在 中?！罕怼恍鑼彽拿ㄒ該粝吕瓎危罕砻麑懺谥??！喉憫?yīng)時間』數(shù)據(jù)庫處理操作的響應(yīng)時間?！悍祷匦袛?shù)』數(shù)據(jù)庫處理操作后返回結(jié)果行數(shù)?！河绊懶袛?shù)』數(shù)據(jù)庫處理操作的影響行數(shù)。對象定義『對象定義』包含『IP組』，『時間對象』和『告警對象』，提供管理員對以上對象的定義與添加，方便在其他模塊中調(diào)用。IP組『IP組』提供管理員定義IP組信息。點(diǎn)擊 按加IP『IPIP『IPIP『IP地址』支持IPv4和IPv6地址。時間對象『時間對象』定義特定的時間范圍，方便在其余模塊調(diào)用。點(diǎn)擊按添時對：PAGE75PAGE75『名稱』設(shè)定時間對象的名稱，方便管理?！好枋觥辉O(shè)定時間對象的詳細(xì)描述?！喝掌凇辉O(shè)定時間對象生效的時間范圍，默認(rèn)是全年，可以點(diǎn)擊按鈕設(shè)定生設(shè)定日后點(diǎn)擊 來添加間象：PAGE76PAGE76告警對象『告警對象』用于設(shè)置告警信息的發(fā)送方式：『名稱』設(shè)置告警對象的名稱?！好枋觥挥糜诿枋霎?dāng)前告警對象的詳細(xì)說明?！篠NMPTRAP』通過設(shè)備開啟SNMP服務(wù)，使用SNMP服務(wù)來監(jiān)控設(shè)備的信息?！篠YSLOG』通過設(shè)置SYSLOG服務(wù)器地址，講設(shè)備的日志上報到SYSLOG服務(wù)器。審計白名單『審計白名單』添加到審計白名單中的操作類型或業(yè)務(wù)系統(tǒng)將不會被系統(tǒng)審計。點(diǎn)擊按，加計名單：『名稱』設(shè)定白名單的名稱，方便管理。『描述』設(shè)定描述信息。『類型』設(shè)定白名單的類型，默認(rèn)有“數(shù)據(jù)庫條件”，“SQL模板”和“URL地址”三種。『源IP』策略適用的源IP范圍，IP組信息在『策略管理』-『對象定義』-『IP組』中定義后調(diào)用?！簶I(yè)務(wù)系統(tǒng)』策略適用的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)在『系統(tǒng)維護(hù)』-『部署模式』-『業(yè)務(wù)系統(tǒng)』中定義后調(diào)用。『生效時間』白名單生效的時間。『SQL模板』輸入SQL語句：策略高級選項『策略高級選項』提供管理員策略的高級配置選項。『啟用三層信息關(guān)聯(lián)』三層關(guān)聯(lián)是根據(jù)服務(wù)器的部署方式命名（瀏覽器-Web服務(wù)器-數(shù)據(jù)庫服務(wù)器），用于確定HTTP訪問和數(shù)據(jù)庫訪問的關(guān)聯(lián)。通過三層關(guān)聯(lián)可以查詢到HTTP訪問所觸發(fā)的數(shù)據(jù)庫訪問，也可以查詢到某個數(shù)據(jù)庫訪問是由哪個HTTP訪問觸發(fā)，從而能夠關(guān)聯(lián)到真正的訪問者。『將審計日志發(fā)送至外部syslog服務(wù)器』啟用后配置外置服務(wù)器的IP地址，可以將審計日志發(fā)送到第三方syslog服務(wù)器?！篈F聯(lián)動』DAS通過WebServer和數(shù)據(jù)庫端數(shù)據(jù)結(jié)合，識別出webshell攻擊，DAS將識別到的攻擊相關(guān)信息發(fā)送到AF上，AF可以對相關(guān)攻擊進(jìn)行阻塞。AF聯(lián)動『AFwebshellAFURLPAGE81PAGE81『AFDASpostAFhttpsjsonAFAFtokentokenDAS主要使用AF的登錄操作和拒絕URL操作，這里主要說下拒絕URL操作。AF提供的拒絕URL操作是通過后臺修改AF上的策略生效的，所以這里首先要求AF上有一條策略，策略的生效范圍也需要客戶配置。如圖：拒絕URL是通過此策略中的【權(quán)限控制】-【URL防護(hù)】中配置拒絕URL實現(xiàn)的。DASpostjsonAFhttpsAF后臺對此策略添加拒絕拒絕URL，刪除掉指定URL即可放通該URL。注意：在測試AF聯(lián)動的過程中，因AF的管理員存在登錄地點(diǎn)限制：所以配置AF聯(lián)動的時候，需要把這個單用戶限制改大。如果不修改此值，可能出現(xiàn)在DASIPAFPCAF中的策略每條最多拒絕URL50個，每個URL最多支持5層：當(dāng)條數(shù)達(dá)到或接近50的時候，建議新建新的策略，然后修改DAS上的策略名稱即可。系統(tǒng)管理部署模式運(yùn)行模式『運(yùn)行模式』提供管理員兩種設(shè)備運(yùn)行的模式：『單機(jī)模式』與『多機(jī)模式』。『管理器』：與多臺采集器并行通訊，提供策略統(tǒng)一管理并下發(fā)的采集器；同時匯總采PAGE84PAGE84集器上報的日志并提供查詢、報表統(tǒng)計功能。單機(jī)模式『單機(jī)模式』下需要給設(shè)備配置一個管理口地址，管理員可以通過管理口IP地址訪問設(shè)備進(jìn)行配置與管理。部署模式配置完成后請配置業(yè)務(wù)系統(tǒng)，設(shè)備采集數(shù)據(jù)才開始生效。當(dāng)web（）多機(jī)模式『多機(jī)模式』下『管理器』需要配置管理口地址，管理員可以通過管理口IP地址訪問設(shè)備進(jìn)行配置與管理。部署模式配置完成后請配置業(yè)務(wù)系統(tǒng)，設(shè)備采集數(shù)據(jù)才開始生效。當(dāng)web『多機(jī)模式』下『采集器』需要配置管理口地址，管理員可以通過管理口IP地址訪問設(shè)備進(jìn)行配置與管理?！哼\(yùn)?！恢贸?，需點(diǎn)擊生效。Agent客戶端部署Agent（DAS）DAS適用場景：場景一：一體機(jī)場景（Web+DB，通過環(huán)回口交互數(shù)據(jù)處于同一臺主機(jī)），安裝Agent后可以將web服務(wù)器與數(shù)據(jù)庫交互信息通過業(yè)務(wù)口上報到DAS設(shè)備，實現(xiàn)審計。WebV-switchAgentvDAS支持對CentOS5、CentOS6、CentOS7、Ubuntu10.04-14.4、Debian6、Debian7、RHEL5、RHEL6、RHEL7內(nèi)核是2.6、3.X版本64位的操作系統(tǒng)服務(wù)器；支持windows2008r2以上64位操作系統(tǒng)服務(wù)器。當(dāng)前Agent審計方案只支持?jǐn)?shù)據(jù)庫審計功能，不支持3層信息關(guān)聯(lián)。Agent不支持升級，新版本維護(hù)可以手動保留配置文件方式卸載重裝。安裝LinuxAgent安裝和卸載在DAS設(shè)備下載安裝Agent。安裝：Linux服務(wù)器，在root權(quán)限下解壓（解包tar-zxf[路徑/文件名]），并運(yùn)行agent_install.bin腳本進(jìn)行安裝。卸載：切換到安裝路徑bin目錄下，執(zhí)行eps_uninstall.sh腳本進(jìn)行卸載。.1.2.WindowsAgent在DAS設(shè)備下載安裝Agent。Windowsadministratoreps_agent.exeC:\ProgramFiles\Sangfor\AC\EPSepsagent安裝成功，完成安Windows卸載：雙機(jī)uninstall.bat完成卸載。配置客戶端LinuxAgentAgentTCP4567SANGFORDASTCP4567Agent/home/EPS2.0/20160925/eps_agent/config/,找das_agent.iniPAGE90PAGE90Host=IPIPDASIPbineps_agent登錄SANGFORDAS設(shè)備的『日志查詢』—『數(shù)據(jù)庫審計日志』，查看日志。WindowsAgentAgentTCP4567SANGFORDASTCP4567完成Agent安裝后，在…/EPS/1.0.000000/config目錄下找到das_agent.ini文件。打開添加hostIP地址。保存配置后，雙機(jī)bin目錄下restart.bat腳本，完成重啟，提交配置。登錄SANGFORDAS設(shè)備的『日志查詢』—『數(shù)據(jù)庫審計日志』，查看日志。Agent70%，則設(shè)置為bypass狀態(tài)；隨后5秒檢測一次，直到內(nèi)存降到70%以下，才關(guān)閉bypass；在bypass狀態(tài)下Agent不在工作。Agentbypass自動重啟。網(wǎng)口配置表示口接常表網(wǎng)口接常點(diǎn)擊口以改口PAGE100PAGE100IP地址，如下圖：（管理口配置）（鏡像口/業(yè)務(wù)口配置）點(diǎn)擊可修管的MTU，下：當(dāng)前僅支持eth0作為管理口,eth1作為業(yè)務(wù)口。靜態(tài)路由『靜態(tài)路由』提供管理員添加靜態(tài)路由和查看系統(tǒng)路由信息功能。點(diǎn)擊后可手添一條態(tài)由。管理也以擊來看當(dāng)設(shè)的統(tǒng)由，如圖：業(yè)務(wù)系統(tǒng)『業(yè)務(wù)系統(tǒng)』用于添加需要做審計的業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)會在后續(xù)的策略配置中被引用。點(diǎn)擊按，動加要業(yè)系：『名稱』即業(yè)務(wù)系統(tǒng)的名稱，可以由管理員定義，方便管理與分類。『描述』業(yè)務(wù)系統(tǒng)的描述信息，可以定義業(yè)務(wù)系統(tǒng)的作用。webOracle、SQLServerDB2InformixKingBaseDamengPostgresqlSybaseCacheCSPCachePortal、CacheTerminal、CacheSqlStu『編碼』選擇業(yè)務(wù)系統(tǒng)的編碼類型，設(shè)備提供了以下編碼類型可以選擇：『主機(jī)』需要填寫業(yè)務(wù)系統(tǒng)的IP地址，支持IPv4和IPv6。常見數(shù)據(jù)庫安裝的默認(rèn)編碼：Oracle(UTF-8)SQLserver(UTF-16)Mysql(UTF-8)DB2(UTF-8)系統(tǒng)設(shè)置『系統(tǒng)設(shè)置』用于設(shè)備系統(tǒng)相關(guān)的功能設(shè)置，包含了序列號，系統(tǒng)時間、管理員賬戶、服務(wù)器配置、告警選項、數(shù)據(jù)同步、SNMP設(shè)置、高級設(shè)置等設(shè)置。序列號『序列號』顯示了當(dāng)前設(shè)備的授權(quán)信息，包含了設(shè)備序列號，升級序列號和服務(wù)有效期。系統(tǒng)時間『系統(tǒng)時間』用于查看和調(diào)整設(shè)備系統(tǒng)的當(dāng)前時間，支持與Internet時間同步。調(diào)整系統(tǒng)時間后，需要點(diǎn)擊調(diào)整系統(tǒng)時間后，需要點(diǎn)擊按鈕保存當(dāng)前配置。管理員『管理員』用戶設(shè)備的分級管理，超級管理員可以設(shè)置不同權(quán)限的分級管理員來進(jìn)行權(quán)限的下發(fā)與管控。點(diǎn)擊 按，增理賬戶：『管理員』管理員的用戶名。『描述』可以添加當(dāng)前賬戶的描述信息。“超級管理員”擁有系統(tǒng)最高權(quán)限，可以查看，修改系統(tǒng)中的日志和配置。“審計管理員”負(fù)責(zé)審計日志，僅有日志查看權(quán)限?！鞍踩芾韱T”負(fù)責(zé)配置規(guī)則,無查看日志權(quán)限?！白远x管理員”可以自選管理頁面?！喉撁鏅?quán)限設(shè)置』可以設(shè)置管理員管理的頁面權(quán)限，分為“編輯權(quán)限”和“管理權(quán)限”。服務(wù)器配置『服務(wù)器配置』用于告警選項的調(diào)用，適用于郵件告警和短信告警及報表訂閱。『郵件服務(wù)』可以設(shè)置發(fā)送郵件的郵件服務(wù)器設(shè)置，發(fā)送間隔設(shè)置。告警選項『告警選項』提供管理員設(shè)置設(shè)備發(fā)生異常時的告警功能。PAGE102PAGE102『系統(tǒng)異常』指設(shè)備CPU過高，內(nèi)存過高，后臺程序異常。『磁盤空間占用過高』磁盤空間的占用閾值可以在『系統(tǒng)維護(hù)』-『磁盤空間』-『磁盤選項』中設(shè)置：『采集器離線』設(shè)定采集器離線持續(xù)多長時間后發(fā)出告警?！焊婢瘜ο蟆辉凇翰呗怨芾怼?『對象定義』-『告警對象』中設(shè)置，用于設(shè)置告警信息的發(fā)送方式：PAGE103PAGE103『名稱』設(shè)置告警對象的名稱。『描述』用于描述當(dāng)前告警對象的詳細(xì)說明。『SNMPTRAP』通過設(shè)備開啟SNMP服務(wù)，使用SNMP服務(wù)來監(jiān)控設(shè)備的信息?！篠YSLOG』通過設(shè)置SYSLOG服務(wù)器地址，講設(shè)備的日志上報到SYSLOG服務(wù)器。數(shù)據(jù)同步「數(shù)據(jù)同步」功能可以聯(lián)動「深信服行為感知系統(tǒng)BA」和「安全感知平臺SIP」聯(lián)動「深信服行為感知系統(tǒng)」『啟用』啟用數(shù)據(jù)同步，將DAS審計的日志同步至BA進(jìn)行數(shù)據(jù)分析?！涸O(shè)備名稱』定義BA設(shè)備名稱?！築A平臺IP』用于展示的BA的ip地址?！航尤朊荑€』與BA上面設(shè)置的密鑰一致即可，密碼長度不超過8位。『測試有效性』測試DAS與BA的連通性。聯(lián)動「安全感知平臺SIP」『啟用』啟用數(shù)據(jù)同步，將DAS審計的日志同步至SIP進(jìn)行數(shù)據(jù)分析?！篒P』用于同步數(shù)據(jù)的SIP的ip地址。『端口』用于同步數(shù)據(jù)的SIP的端口，默認(rèn)是TCP7443?！篠IP認(rèn)證用戶名』用于同步數(shù)據(jù)的SIP的用戶名，和SIP端配置保持一直。『SIP認(rèn)證密碼』與SIP上面設(shè)置的密鑰一致即可，密碼長度不超過8位。支持同步的日志類型有：數(shù)據(jù)庫審計日志、數(shù)據(jù)庫風(fēng)險日志、WEB審計日志、管理員操作日志?！簻y試有效性』測試DAS與SIP的連通性。SIP端配置：新增設(shè)備：「系統(tǒng)配置」-「設(shè)備管理」-「新增」，參照上面配置：PAGE106PAGE106完成配置后：日志查詢：在「日志檢索」-「審計日志」進(jìn)行查詢。PAGE107PAGE107SNMP配置「啟用SNMPv1/v2SNMPV1/V2SNMPSNMPv3SNMPV3USMUSM啟用身份認(rèn)證：開啟和設(shè)置身份認(rèn)證方式，可以選擇MD5和SHA。啟用加密：開啟DES加密方式，設(shè)置加密密碼。下載MIBMIB庫，導(dǎo)入到SNMP高級配置『高級配置』提供管理員設(shè)置設(shè)備的整體信息，后臺接入以及日志查詢選項?！涸O(shè)備證書』提供設(shè)備的證書下載和查看?！哼h(yuǎn)程維護(hù)』提供管理員后臺接入的開關(guān)，以及登錄的IP限制范圍。『日志選項』設(shè)置日志導(dǎo)入的上限以及查詢頁面的查詢條數(shù)上限。系統(tǒng)維護(hù)『系統(tǒng)維護(hù)』提供管理員查看系統(tǒng)運(yùn)行的日志，管理磁盤空間，以及對系統(tǒng)進(jìn)行備份，升級以及重啟服務(wù)。備份恢復(fù)『備份恢復(fù)』提供管理員配置備份恢復(fù)，日志備份與導(dǎo)入。『備配』擊可下載備前配?！夯衷O(shè)』擊可將設(shè)的置復(fù)出設(shè)置。PAGE110PAGE110日志備份分為『立即備份』和『周期備份』。點(diǎn)擊按，以轉(zhuǎn)立即份項：PAGE112PAGE112『存放路徑』指日志備份需要存放的路徑，支持共享路徑?！菏褂眠B接密碼』連接密碼是共享文件存儲登錄的賬戶密碼?！簡⒂脗浞菝艽a』備份密碼是日志存儲的加密密碼?！簜浞萑掌凇惶峁┕芾韱T選擇需要備份的日志的日期。點(diǎn)擊 按可添周備份略：『備份任務(wù)名』當(dāng)前備份策略的名稱，由管理員設(shè)定方便管理?！捍娣怕窂健恢溉罩緜浞菪枰娣诺穆窂剑С止蚕砺窂健！菏褂眠B接密碼』連接密碼是共享文件存儲登錄的賬戶密碼?！簡⒂脗浞菝艽a』備份密碼是日志存儲的加密密碼?！浩鹗紩r間』日志備份的起始時間?！簜浞葜芷凇蝗罩緜浞莸闹芷冢梢赃x擇“每天”，“每周”，“每月”。日志導(dǎo)入提供管理員將備份的日志導(dǎo)入到設(shè)備進(jìn)行查看?！簩?dǎo)入選項』提供輸入路徑，路徑可以是共享目錄路徑，如果使用的是共享目錄路徑，還需要輸入共享目錄的用戶名和密碼進(jìn)行連接。PAGE113PAGE113『導(dǎo)入歷史』可以方便管理員查看之前做過的導(dǎo)入歷史記錄。磁盤空間『磁盤空間』提供管理員查看磁盤剩余空間和占用百分比，以及歷史日志容量。系統(tǒng)更新系統(tǒng)日志『系統(tǒng)日志』提供管理員查看系統(tǒng)各模塊的系統(tǒng)日志。點(diǎn)擊上的 可過需要看日類：PAGE116PAGE116重啟操作『重啟操作』提供管理員兩種重啟方式：重啟服務(wù)和重啟設(shè)備『重啟服務(wù)』系統(tǒng)重啟后臺所有服務(wù)進(jìn)程。『重啟設(shè)備』設(shè)備重新啟動。第2章數(shù)據(jù)庫審計系統(tǒng)使用案例上架使用案例『環(huán)境說明』使用場景如圖所示：DASPAGE118PAGE118第三步、添加業(yè)務(wù)系統(tǒng)：第四步、設(shè)備內(nèi)置了一條默認(rèn)策略審計所有，所以不需要再添加策略。第五步、待日志生成后，通過日志查詢，查詢數(shù)據(jù)庫審計日志：PAGE119PAGE119一體機(jī)場景案例場景：業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫在同一臺服務(wù)器，通過服務(wù)器本機(jī)環(huán)回口通訊。采用服務(wù)器安裝Agent上傳數(shù)據(jù)到DAS設(shè)備方案。第一步、部署模式選擇“單機(jī)模式”，設(shè)備配置管理口進(jìn)行管理：第二步、網(wǎng)口配置eth1口為業(yè)務(wù)口，填寫業(yè)務(wù)口IP，為了審計業(yè)務(wù)口接受的數(shù)據(jù)，需要另外選擇兩個鏡像口用網(wǎng)線接同一個交換機(jī)。PAGE120PAGE1AgentIP地DASTCP4567第四步、DAS設(shè)備添加業(yè)務(wù)系統(tǒng)，主機(jī)IP填寫服務(wù)器IP：第五步、設(shè)備內(nèi)置了一條默認(rèn)策略審計所有，所以不需要再添加策略。第六步、待日志生成后，通過日志查詢，查詢數(shù)據(jù)庫審計日志。PAGE121PA