2021SANGFOR數(shù)據(jù)庫安全審計DAS用戶手冊

SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)用戶手冊2019年01月目錄聲明 1前言 2手冊容 2本書定 2標志定 3技術持 3致謝 3第1章制使用 4統(tǒng)態(tài) 6運狀態(tài) 6采器態(tài) 7日同狀態(tài) 7據(jù)風險 8風查詢 8風排行 12風趨勢 16賬安全 18WEB18志詢 21數(shù)庫計志 21WEB計日志 26管員作志 28表心 30數(shù)庫為行 30數(shù)庫為勢 32新型SQL模板趨勢 33SQL響性分析 34執(zhí)失分析 35登失排行 35SQL句敗行 36吞量析 37SQL句吐行 37SQL句吐勢 38SQL作型量排行 39SQL作型量趨勢 40數(shù)庫戶吐排行 41數(shù)庫戶吐趨勢 42業(yè)主吞量行 43業(yè)主吞量勢 44報收藏 45報訂閱 48略理 56策列表 56審安策略 57權控策略 66安規(guī)則 69對定義 73IP組 73時對象 74告對象 76審白單 78策高選項 79AF80統(tǒng)理 83部模式 83運模式 83數(shù)庫Agent客端部署 86網配置 91靜路由 93業(yè)系統(tǒng) 94系設置 96序號 96系時間 97管員 97服器置 100告選項 101數(shù)同步 104SNMP107高配置 108系維護 108備恢復 109磁空間 113系更新 113系日志 114重操作 116第2章?lián)徬涤冒咐?架用例 體場案例 務統(tǒng)署虛平臺景例 121全源場案例 123附錄：SANGFOR設級系的用 128產品級驟 13122前言手冊內容第1部分SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)安裝步驟和部署方式。第2部分SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)控制臺的使用。第3部分SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)使用案例。附錄SANGFOR數(shù)據(jù)庫安全審計系統(tǒng)軟件維護。v2.0.3說明。本書約定1、圖形界面格式約定文字描述代替符號舉例按鈕邊框+陰影+底紋“確定”按鈕可簡化為確定菜單項『』菜單項“系統(tǒng)設置”可簡化為『系統(tǒng)設置』連續(xù)選擇菜單項及子菜單項→選擇『系統(tǒng)設置』→『接口配置』下拉框、單選框、復選框選項[]復選框選項“啟用用戶”可簡化為[啟用用戶]窗口名『』如點擊彈出『新增用戶』窗口提示信息“”如提示框中顯示“保存配置成功，配置已修改,需要重啟服務才能生效，是否立即重啟該服務?”PAGE10PAGE10第1章控制臺使用SANGFORPCIP。ETH052，此時需要將PC的物理網口與數(shù)據(jù)庫安全審計系統(tǒng)的ETH0口接在同一個交換機上，后PC配置一個10.252.252.xIP52admin”（。用戶第一次登錄系統(tǒng)時，為確保賬戶安全性，會提示修改初始密碼：建議用戶修改默認密碼并保存。用戶輸入錯誤的賬戶密碼信息后，系統(tǒng)會有告警提示：默認有6次輸入正確賬戶密碼機會，如果6次都登錄失敗，系統(tǒng)鎖定1分鐘：建議管理員保存好自定義的賬戶密碼信息，防止泄露遺忘！數(shù)據(jù)庫安全審計系統(tǒng)控制臺支持使用IE/Firefox/Chrome等瀏覽器登錄使用?？刂婆_框架顯示如下圖：系統(tǒng)狀態(tài)運行狀態(tài)Dashboard點擊上角 下菜單可以擇表的計，默有當天”，“本周”及本”供擇。點擊可添首展的報類系態(tài)“險勢，SQL采集器狀態(tài)『采集器狀態(tài)』展示所有采集器的信息和運行狀態(tài)：“在線”表示采集器和管理器通訊正常，“離線”表示采集器和管理器通訊異常。日志同步狀態(tài)『日志同步狀態(tài)』展示設備日志生成的狀態(tài)和進度：數(shù)據(jù)庫風險『數(shù)據(jù)庫風險』提供管理員查詢和分析有風險的數(shù)據(jù)庫操作日志。風險查詢『風險查詢』提供管理員查詢具有風險行為的數(shù)據(jù)庫操作日志：點擊志面的按鈕可以看條志情：點擊上的 可定過濾件進篩：「日期時間」查詢日期：定義查詢日期范圍，支持定義起始、結束時間和時間對象?！高^濾選項」支持過濾源IP、客戶端程序、業(yè)務系統(tǒng)等條件。點擊「源區(qū)域」支持過濾源IP、客戶端程序、源MAC條件?！改康膮^(qū)域」支持過濾業(yè)務系統(tǒng)、業(yè)務主機端口條件?！覆僮鲗ο蟆怪С诌^濾數(shù)據(jù)庫用戶、數(shù)據(jù)庫名、操作類型和表名條件?！赣绊懡Y果」支持過濾返回行數(shù)、影響行數(shù)、響應時長、響應碼條件?！钙渌麠l件」支持過濾策略、規(guī)則、風險級別、SQL模板條件。時間排序：支持按時間正序或倒序排列查詢結果。點擊上的可將前日信導成Excel表格存。風險排行『風險排行』針對產生風險的行為日志做統(tǒng)計排行：數(shù)據(jù)排行的展示方式，可以通過右上角的 進行切換，默認支環(huán)狀，狀以柱圖的示果。詳細排行信息在圖形下方展示：點擊 可轉具行日志面看點擊 可查行趨圖：點擊上的可從險級源IP務機數(shù)據(jù)用和險型PAGE14PAGE14「統(tǒng)計選項」顯示排行，默認統(tǒng)計top10，可以根據(jù)實際需要自定義?！溉掌跁r間」查詢日期：定義查詢日期范圍，支持定義統(tǒng)計周期、時間和時間對象?！高^濾選項」支持過濾源IP、業(yè)務系統(tǒng)、數(shù)據(jù)庫用戶等條件。點擊「源區(qū)域」支持過濾源IP、客戶端程序條件。「目的區(qū)域」支持過濾業(yè)務系統(tǒng)條件?！覆僮鲗ο蟆怪С诌^濾數(shù)據(jù)庫用戶、操作類型條件?！冈敿毿畔ⅰ怪С诌^濾SQL模板條件。點擊上的可將前日信導生報。點擊上的將前統(tǒng)信作報收。PAGE16PAGE16風險趨勢『風險趨勢』根據(jù)風險行為排行繪制趨勢圖下方險數(shù)以擊查看體險為志：點擊上的 可從險級源IP務機數(shù)據(jù)用和險型這些注度行析。過濾選項參考2.2.2風險排行章節(jié)。點擊上的可將前日信導生報。點擊上的將前統(tǒng)信作報收。PAGE18PAGE18賬號安全『賬號安全』提供管理員查看賬戶安全策略產生的一些風險操作日志：查詢范圍可以選擇最近7天、最近30天或自定義。點擊上的可將前日信導生報。WEB風險『WEB風險』顯示被檢測到的WEB風險日志：設定查條后點擊 按，詢志：點擊志面的按鈕可以看條志情：非首次檢測到的webshell日志，詳情中則沒有風險明細和sql語句字段urlwebshellurl是webshellurlAFurl。日志查詢『日志查詢』包含『數(shù)據(jù)庫審計日志』，『WEB審計日志』和『管理員操作日志』。數(shù)據(jù)庫審計日志『數(shù)據(jù)庫審計日志』提供管理員查看數(shù)據(jù)庫類型的審計日志。PAGE23PAGE23『日期時間』設定查詢的時間范圍?！哼^濾選項』提供查詢條件的過濾選項。點擊可顯詳?shù)臑V條類：PAGE24PAGE24設定查條后點擊 按，詢志：點擊志面的按鈕可以看條志情：點擊上的可將前日信導成格存：點擊 下導日到地，以Excel式存：WEB審計日志『WEB審計日志』提供管理員查看WEB類型的審計日志?！喝掌跁r間』設定查詢的時間范圍?！哼^濾選項』提供查詢條件的過濾選項。點擊可顯詳?shù)臑V條類：設定查條后點擊 按，詢志：PAGE28PAGE28點擊志面的 按鈕可以看條志情：點擊上的可將前日信導成Excel表格存。管理員操作日志『管理員操作日志』提供管理員查詢管理員操作的日志。PAGE29PAGE29『日期時間』設定查詢的時間范圍?！哼^濾選項』提供查詢條件的過濾選項。設定查條后點擊按，詢志：點擊志面的 按鈕可以看條志情：點擊上的可將前日信導成Excel表格存。報表中心『報表中心』提供管理員對已有的日志進行統(tǒng)計整合并生成報表。數(shù)據(jù)庫行為排行『數(shù)據(jù)庫行為排行』對內網用戶操作數(shù)據(jù)庫的行為進行統(tǒng)計排行。數(shù)據(jù)排行的展示方式，可以通過右上角的 進行切換，默認支環(huán)狀，狀以柱圖的示果。詳細排行信息在圖形下方展示：點擊 可轉具行日志面看：點擊 可跳到為行趨頁查：數(shù)據(jù)庫行為趨勢『數(shù)據(jù)庫行為趨勢』對內網用戶操作數(shù)據(jù)庫的行為繪制趨勢圖進行分析。點擊 可轉具行日志面看：新型SQL模板趨勢『新型SQL模板趨勢』針對系統(tǒng)建模之外的SQL語句產生趨勢圖：SQL響應性能分析『SQL響應性能分析』針對業(yè)務系統(tǒng)響應SQL語句的時長占比對系統(tǒng)性能做出分析：點擊可查體SQL模板日：執(zhí)行失敗分析『執(zhí)行失敗分析』包含『登錄失敗排行』和『SQL語句失敗排行』登錄失敗排行『登錄失敗排行』針對登錄數(shù)據(jù)庫系統(tǒng)失敗行為進行排行統(tǒng)計：點擊行為次數(shù)下的具體數(shù)值，可以跳轉到具體失敗行為日志：SQL語句失敗排行『SQL語句失敗排行』針對SQL語句執(zhí)行失敗行為進行排行點擊行為次數(shù)下的具體數(shù)值，可以查看具體SQL語句日志：PAGE37PAGE37吞吐量分析SQL語句吞吐量排行『SQLSQL點擊可查體SQL語句行日：SQL語句吞吐量趨勢『SQL語句吞吐量趨勢』針對SQL的吞吐量繪制趨勢圖：點擊 可查體SQL模板行日：SQL操作類型吞吐量排行『SQL操作類型吞吐量排行』針對SQL的操作類型的吞吐量進行排行統(tǒng)計：點擊 可查具體SQL操作型日：SQL操作類型吞吐量趨勢『SQL操作類型吞吐量趨勢』針對SQL的操作類型的吞吐量繪制趨勢圖：點擊 可查具體SQL操作型日：數(shù)據(jù)庫用戶吞吐量排行『數(shù)據(jù)庫用戶吞吐量排行』針對數(shù)據(jù)庫用戶的吞吐量進行排行統(tǒng)計：點擊 可查具數(shù)用戶行日：PAGE42PAGE42數(shù)據(jù)庫用戶吞吐量趨勢『數(shù)據(jù)庫用戶吞吐量趨勢』針對數(shù)據(jù)庫用戶的吞吐量繪制趨勢圖：點擊 可查具數(shù)用戶行日：業(yè)務主機吞吐量排行『業(yè)務主機吞吐量排行』針對業(yè)務主機的吞吐量進行排行統(tǒng)計：點擊可查具業(yè)主機行日：PAGE44PAGE44業(yè)務主機吞吐量趨勢『業(yè)務主機吞吐量趨勢』針對業(yè)務主機的吞吐量繪制趨勢圖：點擊可查具業(yè)主機行日：報表收藏『報表收藏』提供管理員將常用報表歸類收藏，便于后續(xù)直接調用：點擊 可手添收夾：設定藏名，擊 保存效：所有已知的報表都可以通過報表頁面右上角的『立即收藏』按鈕添加到指定收藏夾：4646PAGE47PAGE47點擊 收當報：點擊按，以擇添加文夾：保存后，可以在報表收藏頁面中找到所收藏的報表：報表訂閱『報表訂閱』提供管理員根據(jù)需求定時自動生成指定報表并導出：點擊 來增表『報表名稱』設置一個報表名稱?！荷芍芷凇弧爸芷谟嗛啞钡闹芷跁r間，這里可以選擇“每天”，“每周”，“每月”?！河嗛嗊x項』可以設置報表發(fā)送的郵箱地址，報表生成后會自動發(fā)送到指定郵箱。PAGE50PAGE50可以根據(jù)需求，將左樹中的報表拖拽到右邊空白處進行報表拼接：如需計定有表條件可點右角進行置：PAGE53PAGE53勾選需量輯報，點擊 ：設定條后點擊 后保存。點擊可預當設好的表5454PAGE55PAGE55預覽有題，擊上方 存前表：保存在表訂列中以到存報點擊可以即成生成功，以擊查看近成表。報表閱表有報都可選擇點開以置動除和支的表數(shù)：策略管理『策略管理』提供管理員策略的配置和管理。策略列表『策略列表』提供管理員添加，刪除，修改，查看策略信息。點擊按，加略：審計安全策略『名稱』策略名稱，管理員可以根據(jù)管理需要自定義。『源IP』策略適用的源IP范圍，IP組信息在『策略管理』-『對象定義』-『IP組』中定義后調用。『業(yè)務系統(tǒng)』策略適用的業(yè)務系統(tǒng)，業(yè)務系統(tǒng)在『系統(tǒng)維護』-『部署模式』-『業(yè)務系統(tǒng)』中定義后調用?！荷r間』策略生效的時間?！簩徲嫻δ堋话篧EB審計』和『數(shù)據(jù)庫審計』。『WEB審』于計WEB系，擊 進審配置面：『全部審計』默認審計WEB系統(tǒng)中全部操作信息?！褐付l件』只審計匹配了指定條件的操作信息。點擊按，轉『定條』條配頁：『名稱』設定規(guī)則名稱?！赫埱蠓椒ā荒J支持“GET”和“POST”兩種請求方法。『URL』需要審計的特定URL地址?！喉憫a』HTTP協(xié)議頭部狀態(tài)碼，例如200，404，302?！簲?shù)庫計用審數(shù)據(jù)系，擊進審計置面：『全部審計』默認審計數(shù)據(jù)庫系統(tǒng)中全部操作信息?！褐付l件』只審計匹配了指定條件的操作信息。點擊按，轉『定條』條配頁：『名稱』設定規(guī)則名稱?！簛碓础话嚎蛻舳顺绦颉缓汀簲?shù)據(jù)庫用戶』。『客戶端程序』指數(shù)據(jù)庫系統(tǒng)的操作來自客戶端程序，條件設定可以點擊點擊下菜選客端程類：添加。數(shù)據(jù)用名寫在中?！翰僮鳌话翰僮黝愋汀唬簲?shù)據(jù)庫名』和『表名』?！翰兕愊祪榷喾N作型供點擊可根需勾操作類型：『數(shù)庫需審的數(shù)庫件定以點擊下拉單：數(shù)據(jù)名寫在中。『表』需審的名，件定以擊下拉單：表名寫在中。『響應時間』數(shù)據(jù)庫處理操作的響應時間?！悍祷匦袛?shù)』數(shù)據(jù)庫處理操作后返回結果行數(shù)?！河绊懶袛?shù)』數(shù)據(jù)庫處理操作的影響行數(shù)。『響應內容』數(shù)據(jù)庫響應內容可以選擇“審計”或“不審計”?！喊踩δ堋话簲?shù)據(jù)庫安全』和『賬號安全』。『數(shù)據(jù)安』指對據(jù)庫系的作設的全規(guī)則點擊添加規(guī)則：勾選要加安規(guī)后點擊保存可?！嘿~安』針數(shù)庫賬設的全則點擊添安規(guī)：點擊 添規(guī)：『選擇業(yè)務主機』用于設定規(guī)則名稱和選擇已有的業(yè)務系統(tǒng)。SQLSQL『完成』系統(tǒng)學習登錄成功，失敗的SQL語句后完成規(guī)則的建立。『告警對象』調用『策略管理』-『對象定義』-『告警對象』中的設置。權限控制策略『名稱』策略名稱，管理員可以根據(jù)管理需要自定義?！涸碔P』策略適用的源IP范圍，IP組信息在『策略管理』-『對象定義』-『IP組』中定義后調用?！簶I(yè)務系統(tǒng)』策略適用的業(yè)務系統(tǒng)，業(yè)務系統(tǒng)在『系統(tǒng)維護』-『部署模式』-『業(yè)務系統(tǒng)』中定義后調用?！荷r間』策略生效的時間。『來源』包含『客戶端程序』和『數(shù)據(jù)庫用戶』?！嚎蛻舳顺绦颉恢笖?shù)據(jù)庫系統(tǒng)的操作來自客戶端程序，條件設定可以點擊點擊下菜選客端程類：添加。數(shù)據(jù)用名寫在 中。『操作』包含『操作類型』，『數(shù)據(jù)庫名』和『表名』?！翰兕愊祪榷喾N作型供點擊可根需勾操作類型：『數(shù)據(jù)庫名』指需要允許拒絕的數(shù)據(jù)庫名，條件定可以點擊下菜單：數(shù)據(jù)名寫在 中?！罕怼恍柙试S拒的表，件定以擊下拉單：表名寫在中?！焊婢瘜ο蟆徽{用『策略管理』-『對象定義』-『告警對象』中的設置。安全規(guī)則『安全規(guī)則』系統(tǒng)內置了多種安全規(guī)則并分類，方便管理員在策略中調用。點擊可選添規(guī)和類：點擊“添加類別”，可以自定義類別名稱：點擊“添加規(guī)則”，可以自定義規(guī)則：『名稱』設定規(guī)則名稱。『安全類別』選擇當前規(guī)則所屬的安全類別，自定義安全規(guī)則只能選擇自定義安全類別。『規(guī)則描述』定義規(guī)則的詳細說明?！簛碓础话嚎蛻舳顺绦颉缓汀簲?shù)據(jù)庫用戶』?！嚎蛻舳顺绦颉恢笖?shù)據(jù)庫系統(tǒng)的操作來自客戶端程序，條件設定可以點擊點擊下菜選客端程類：添加?！簲?shù)據(jù)庫用戶』指數(shù)據(jù)庫的操作來自數(shù)據(jù)庫用戶，條件設定可以點擊下拉菜單：數(shù)據(jù)用名寫在中。『操作』包含『操作類型』，『數(shù)據(jù)庫名』和『表名』。『操類系內多種作型供點擊 可根需勾操作型：『數(shù)庫需審的數(shù)庫件定以點擊下拉單：數(shù)據(jù)名寫在 中?！罕怼恍鑼彽拿ㄒ該粝吕瓎危罕砻麑懺谥??！喉憫獣r間』數(shù)據(jù)庫處理操作的響應時間?！悍祷匦袛?shù)』數(shù)據(jù)庫處理操作后返回結果行數(shù)?！河绊懶袛?shù)』數(shù)據(jù)庫處理操作的影響行數(shù)。對象定義『對象定義』包含『IP組』，『時間對象』和『告警對象』，提供管理員對以上對象的定義與添加，方便在其他模塊中調用。IP組『IP組』提供管理員定義IP組信息。點擊 按加IP『IPIP『IPIP『IP地址』支持IPv4和IPv6地址。時間對象『時間對象』定義特定的時間范圍，方便在其余模塊調用。點擊按添時對：PAGE75PAGE75『名稱』設定時間對象的名稱，方便管理?！好枋觥辉O定時間對象的詳細描述?！喝掌凇辉O定時間對象生效的時間范圍，默認是全年，可以點擊按鈕設定生設定日后點擊 來添加間象：PAGE76PAGE76告警對象『告警對象』用于設置告警信息的發(fā)送方式：『名稱』設置告警對象的名稱?！好枋觥挥糜诿枋霎斍案婢瘜ο蟮脑敿氄f明?！篠NMPTRAP』通過設備開啟SNMP服務，使用SNMP服務來監(jiān)控設備的信息?！篠YSLOG』通過設置SYSLOG服務器地址，講設備的日志上報到SYSLOG服務器。審計白名單『審計白名單』添加到審計白名單中的操作類型或業(yè)務系統(tǒng)將不會被系統(tǒng)審計。點擊按，加計名單：『名稱』設定白名單的名稱，方便管理?！好枋觥辉O定描述信息?！侯愋汀辉O定白名單的類型，默認有“數(shù)據(jù)庫條件”，“SQL模板”和“URL地址”三種?！涸碔P』策略適用的源IP范圍，IP組信息在『策略管理』-『對象定義』-『IP組』中定義后調用?！簶I(yè)務系統(tǒng)』策略適用的業(yè)務系統(tǒng)，業(yè)務系統(tǒng)在『系統(tǒng)維護』-『部署模式』-『業(yè)務系統(tǒng)』中定義后調用?！荷r間』白名單生效的時間。『SQL模板』輸入SQL語句：策略高級選項『策略高級選項』提供管理員策略的高級配置選項?！簡⒂萌龑有畔㈥P聯(lián)』三層關聯(lián)是根據(jù)服務器的部署方式命名（瀏覽器-Web服務器-數(shù)據(jù)庫服務器），用于確定HTTP訪問和數(shù)據(jù)庫訪問的關聯(lián)。通過三層關聯(lián)可以查詢到HTTP訪問所觸發(fā)的數(shù)據(jù)庫訪問，也可以查詢到某個數(shù)據(jù)庫訪問是由哪個HTTP訪問觸發(fā)，從而能夠關聯(lián)到真正的訪問者?！簩徲嬋罩景l(fā)送至外部syslog服務器』啟用后配置外置服務器的IP地址，可以將審計日志發(fā)送到第三方syslog服務器?！篈F聯(lián)動』DAS通過WebServer和數(shù)據(jù)庫端數(shù)據(jù)結合，識別出webshell攻擊，DAS將識別到的攻擊相關信息發(fā)送到AF上，AF可以對相關攻擊進行阻塞。AF聯(lián)動『AFwebshellAFURLPAGE81PAGE81『AFDASpostAFhttpsjsonAFAFtokentokenDAS主要使用AF的登錄操作和拒絕URL操作，這里主要說下拒絕URL操作。AF提供的拒絕URL操作是通過后臺修改AF上的策略生效的，所以這里首先要求AF上有一條策略，策略的生效范圍也需要客戶配置。如圖：拒絕URL是通過此策略中的【權限控制】-【URL防護】中配置拒絕URL實現(xiàn)的。DASpostjsonAFhttpsAF后臺對此策略添加拒絕拒絕URL，刪除掉指定URL即可放通該URL。注意：在測試AF聯(lián)動的過程中，因AF的管理員存在登錄地點限制：所以配置AF聯(lián)動的時候，需要把這個單用戶限制改大。如果不修改此值，可能出現(xiàn)在DASIPAFPCAF中的策略每條最多拒絕URL50個，每個URL最多支持5層：當條數(shù)達到或接近50的時候，建議新建新的策略，然后修改DAS上的策略名稱即可。系統(tǒng)管理部署模式運行模式『運行模式』提供管理員兩種設備運行的模式：『單機模式』與『多機模式』?！汗芾砥鳌唬号c多臺采集器并行通訊，提供策略統(tǒng)一管理并下發(fā)的采集器；同時匯總采PAGE84PAGE84集器上報的日志并提供查詢、報表統(tǒng)計功能。單機模式『單機模式』下需要給設備配置一個管理口地址，管理員可以通過管理口IP地址訪問設備進行配置與管理。部署模式配置完成后請配置業(yè)務系統(tǒng)，設備采集數(shù)據(jù)才開始生效。當web（）多機模式『多機模式』下『管理器』需要配置管理口地址，管理員可以通過管理口IP地址訪問設備進行配置與管理。部署模式配置完成后請配置業(yè)務系統(tǒng)，設備采集數(shù)據(jù)才開始生效。當web『多機模式』下『采集器』需要配置管理口地址，管理員可以通過管理口IP地址訪問設備進行配置與管理?！哼\?！恢贸桑椟c擊生效。Agent客戶端部署Agent（DAS）DAS適用場景：場景一：一體機場景（Web+DB，通過環(huán)回口交互數(shù)據(jù)處于同一臺主機），安裝Agent后可以將web服務器與數(shù)據(jù)庫交互信息通過業(yè)務口上報到DAS設備，實現(xiàn)審計。WebV-switchAgentvDAS支持對CentOS5、CentOS6、CentOS7、Ubuntu10.04-14.4、Debian6、Debian7、RHEL5、RHEL6、RHEL7內核是2.6、3.X版本64位的操作系統(tǒng)服務器；支持windows2008r2以上64位操作系統(tǒng)服務器。當前Agent審計方案只支持數(shù)據(jù)庫審計功能，不支持3層信息關聯(lián)。Agent不支持升級，新版本維護可以手動保留配置文件方式卸載重裝。安裝LinuxAgent安裝和卸載在DAS設備下載安裝Agent。安裝：Linux服務器，在root權限下解壓（解包tar-zxf[路徑/文件名]），并運行agent_install.bin腳本進行安裝。卸載：切換到安裝路徑bin目錄下，執(zhí)行eps_uninstall.sh腳本進行卸載。.1.2.WindowsAgent在DAS設備下載安裝Agent。Windowsadministratoreps_agent.exeC:\ProgramFiles\Sangfor\AC\EPSepsagent安裝成功，完成安Windows卸載：雙機uninstall.bat完成卸載。配置客戶端LinuxAgentAgentTCP4567SANGFORDASTCP4567Agent/home/EPS2.0/20160925/eps_agent/config/,找das_agent.iniPAGE90PAGE90Host=IPIPDASIPbineps_agent登錄SANGFORDAS設備的『日志查詢』—『數(shù)據(jù)庫審計日志』，查看日志。WindowsAgentAgentTCP4567SANGFORDASTCP4567完成Agent安裝后，在…/EPS/1.0.000000/config目錄下找到das_agent.ini文件。打開添加hostIP地址。保存配置后，雙機bin目錄下restart.bat腳本，完成重啟，提交配置。登錄SANGFORDAS設備的『日志查詢』—『數(shù)據(jù)庫審計日志』，查看日志。Agent70%，則設置為bypass狀態(tài)；隨后5秒檢測一次，直到內存降到70%以下，才關閉bypass；在bypass狀態(tài)下Agent不在工作。Agentbypass自動重啟。網口配置表示口接常表網口接常點擊口以改口PAGE100PAGE100IP地址，如下圖：（管理口配置）（鏡像口/業(yè)務口配置）點擊可修管的MTU，下：當前僅支持eth0作為管理口,eth1作為業(yè)務口。靜態(tài)路由『靜態(tài)路由』提供管理員添加靜態(tài)路由和查看系統(tǒng)路由信息功能。點擊后可手添一條態(tài)由。管理也以擊來看當設的統(tǒng)由，如圖：業(yè)務系統(tǒng)『業(yè)務系統(tǒng)』用于添加需要做審計的業(yè)務系統(tǒng)，業(yè)務系統(tǒng)會在后續(xù)的策略配置中被引用。點擊按，動加要業(yè)系：『名稱』即業(yè)務系統(tǒng)的名稱，可以由管理員定義，方便管理與分類?！好枋觥粯I(yè)務系統(tǒng)的描述信息，可以定義業(yè)務系統(tǒng)的作用。webOracle、SQLServerDB2InformixKingBaseDamengPostgresqlSybaseCacheCSPCachePortal、CacheTerminal、CacheSqlStu『編碼』選擇業(yè)務系統(tǒng)的編碼類型，設備提供了以下編碼類型可以選擇：『主機』需要填寫業(yè)務系統(tǒng)的IP地址，支持IPv4和IPv6。常見數(shù)據(jù)庫安裝的默認編碼：Oracle(UTF-8)SQLserver(UTF-16)Mysql(UTF-8)DB2(UTF-8)系統(tǒng)設置『系統(tǒng)設置』用于設備系統(tǒng)相關的功能設置，包含了序列號，系統(tǒng)時間、管理員賬戶、服務器配置、告警選項、數(shù)據(jù)同步、SNMP設置、高級設置等設置。序列號『序列號』顯示了當前設備的授權信息，包含了設備序列號，升級序列號和服務有效期。系統(tǒng)時間『系統(tǒng)時間』用于查看和調整設備系統(tǒng)的當前時間，支持與Internet時間同步。調整系統(tǒng)時間后，需要點擊調整系統(tǒng)時間后，需要點擊按鈕保存當前配置。管理員『管理員』用戶設備的分級管理，超級管理員可以設置不同權限的分級管理員來進行權限的下發(fā)與管控。點擊 按，增理賬戶：『管理員』管理員的用戶名?！好枋觥豢梢蕴砑赢斍百~戶的描述信息?！俺壒芾韱T”擁有系統(tǒng)最高權限，可以查看，修改系統(tǒng)中的日志和配置?！皩徲嫻芾韱T”負責審計日志，僅有日志查看權限?！鞍踩芾韱T”負責配置規(guī)則,無查看日志權限。“自定義管理員”可以自選管理頁面?！喉撁鏅嘞拊O置』可以設置管理員管理的頁面權限，分為“編輯權限”和“管理權限”。服務器配置『服務器配置』用于告警選項的調用，適用于郵件告警和短信告警及報表訂閱?！亨]件服務』可以設置發(fā)送郵件的郵件服務器設置，發(fā)送間隔設置。告警選項『告警選項』提供管理員設置設備發(fā)生異常時的告警功能。PAGE102PAGE102『系統(tǒng)異常』指設備CPU過高，內存過高，后臺程序異常。『磁盤空間占用過高』磁盤空間的占用閾值可以在『系統(tǒng)維護』-『磁盤空間』-『磁盤選項』中設置：『采集器離線』設定采集器離線持續(xù)多長時間后發(fā)出告警?！焊婢瘜ο蟆辉凇翰呗怨芾怼?『對象定義』-『告警對象』中設置，用于設置告警信息的發(fā)送方式：PAGE103PAGE103『名稱』設置告警對象的名稱?！好枋觥挥糜诿枋霎斍案婢瘜ο蟮脑敿氄f明?！篠NMPTRAP』通過設備開啟SNMP服務，使用SNMP服務來監(jiān)控設備的信息?！篠YSLOG』通過設置SYSLOG服務器地址，講設備的日志上報到SYSLOG服務器。數(shù)據(jù)同步「數(shù)據(jù)同步」功能可以聯(lián)動「深信服行為感知系統(tǒng)BA」和「安全感知平臺SIP」聯(lián)動「深信服行為感知系統(tǒng)」『啟用』啟用數(shù)據(jù)同步，將DAS審計的日志同步至BA進行數(shù)據(jù)分析?！涸O備名稱』定義BA設備名稱?！築A平臺IP』用于展示的BA的ip地址?！航尤朊荑€』與BA上面設置的密鑰一致即可，密碼長度不超過8位?！簻y試有效性』測試DAS與BA的連通性。聯(lián)動「安全感知平臺SIP」『啟用』啟用數(shù)據(jù)同步，將DAS審計的日志同步至SIP進行數(shù)據(jù)分析?！篒P』用于同步數(shù)據(jù)的SIP的ip地址。『端口』用于同步數(shù)據(jù)的SIP的端口，默認是TCP7443。『SIP認證用戶名』用于同步數(shù)據(jù)的SIP的用戶名，和SIP端配置保持一直。『SIP認證密碼』與SIP上面設置的密鑰一致即可，密碼長度不超過8位。支持同步的日志類型有：數(shù)據(jù)庫審計日志、數(shù)據(jù)庫風險日志、WEB審計日志、管理員操作日志。『測試有效性』測試DAS與SIP的連通性。SIP端配置：新增設備：「系統(tǒng)配置」-「設備管理」-「新增」，參照上面配置：PAGE106PAGE106完成配置后：日志查詢：在「日志檢索」-「審計日志」進行查詢。PAGE107PAGE107SNMP配置「啟用SNMPv1/v2SNMPV1/V2SNMPSNMPv3SNMPV3USMUSM啟用身份認證：開啟和設置身份認證方式，可以選擇MD5和SHA。啟用加密：開啟DES加密方式，設置加密密碼。下載MIBMIB庫，導入到SNMP高級配置『高級配置』提供管理員設置設備的整體信息，后臺接入以及日志查詢選項?！涸O備證書』提供設備的證書下載和查看?！哼h程維護』提供管理員后臺接入的開關，以及登錄的IP限制范圍?！喝罩具x項』設置日志導入的上限以及查詢頁面的查詢條數(shù)上限。系統(tǒng)維護『系統(tǒng)維護』提供管理員查看系統(tǒng)運行的日志，管理磁盤空間，以及對系統(tǒng)進行備份，升級以及重啟服務。備份恢復『備份恢復』提供管理員配置備份恢復，日志備份與導入?！簜渑洹粨艨上螺d備前配?！夯衷O』擊可將設的置復出設置。PAGE110PAGE110日志備份分為『立即備份』和『周期備份』。點擊按，以轉立即份項：PAGE112PAGE112『存放路徑』指日志備份需要存放的路徑，支持共享路徑。『使用連接密碼』連接密碼是共享文件存儲登錄的賬戶密碼。『啟用備份密碼』備份密碼是日志存儲的加密密碼?！簜浞萑掌凇惶峁┕芾韱T選擇需要備份的日志的日期。點擊 按可添周備份略：『備份任務名』當前備份策略的名稱，由管理員設定方便管理。『存放路徑』指日志備份需要存放的路徑，支持共享路徑。『使用連接密碼』連接密碼是共享文件存儲登錄的賬戶密碼?！簡⒂脗浞菝艽a』備份密碼是日志存儲的加密密碼。『起始時間』日志備份的起始時間?！簜浞葜芷凇蝗罩緜浞莸闹芷冢梢赃x擇“每天”，“每周”，“每月”。日志導入提供管理員將備份的日志導入到設備進行查看?！簩脒x項』提供輸入路徑，路徑可以是共享目錄路徑，如果使用的是共享目錄路徑，還需要輸入共享目錄的用戶名和密碼進行連接。PAGE113PAGE113『導入歷史』可以方便管理員查看之前做過的導入歷史記錄。磁盤空間『磁盤空間』提供管理員查看磁盤剩余空間和占用百分比，以及歷史日志容量。系統(tǒng)更新系統(tǒng)日志『系統(tǒng)日志』提供管理員查看系統(tǒng)各模塊的系統(tǒng)日志。點擊上的 可過需要看日類：PAGE116PAGE116重啟操作『重啟操作』提供管理員兩種重啟方式：重啟服務和重啟設備『重啟服務』系統(tǒng)重啟后臺所有服務進程。『重啟設備』設備重新啟動。第2章數(shù)據(jù)庫審計系統(tǒng)使用案例上架使用案例『環(huán)境說明』使用場景如圖所示：DASPAGE118PAGE118第三步、添加業(yè)務系統(tǒng)：第四步、設備內置了一條默認策略審計所有，所以不需要再添加策略。第五步、待日志生成后，通過日志查詢，查詢數(shù)據(jù)庫審計日志：PAGE119PAGE119一體機場景案例場景：業(yè)務系統(tǒng)與數(shù)據(jù)庫在同一臺服務器，通過服務器本機環(huán)回口通訊。采用服務器安裝Agent上傳數(shù)據(jù)到DAS設備方案。第一步、部署模式選擇“單機模式”，設備配置管理口進行管理：第二步、網口配置eth1口為業(yè)務口，填寫業(yè)務口IP，為了審計業(yè)務口接受的數(shù)據(jù)，需要另外選擇兩個鏡像口用網線接同一個交換機。PAGE120PAGE1AgentIP地DASTCP4567第四步、DAS設備添加業(yè)務系統(tǒng)，主機IP填寫服務器IP：第五步、設備內置了一條默認策略審計所有，所以不需要再添加策略。第六步、待日志生成后，通過日志查詢，查詢數(shù)據(jù)庫審計日志。PAGE121PA