- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath D2000-G[AK][G510][V][C]系列数据库审计系统
Web配置指导
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
企业机构的信息化程度越高,企业对信息系统的依赖就越强烈,而后台的数据库是信息化系统的心脏,数据库中存放着大量企业的重要信息,例如:财务信息、客户信息、合同等。数据库是企业的核心资产,是最有价值的部分,因此也引起了不少黑客的觊觎。
对信息资产的威胁主要分为两类:一类是破坏,将数据篡改、删除、损坏;另一类是数据泄漏,对机密信息的窃取。
H3C SecPath数据库审计系统利用更合理的网络和信息安全技术手段,实现对数据库操作行为审计、深入分析,监测并识别风险事件,及时告警并对其取证保留现场,是多功能为一体的全方位的数据库安全审计系统。
系统支持同时审计多种不同的数据库,具有灵活性和广泛的适用性。
该系统采用网络旁路实时侦听方式,全线速采集网络上所有会话流,对网络中业务系统数据库进行全面的风险分析与安全监控审计、告警。关注核心数据和业务的完全审计,不参与被监控网络的数据传输活动,因此不对网络结构和性能产生任何影响,具有很好的透明性和安全性。
图1-1 典型部署图
系统分为五大模块分别是:监控中心、审计中心、策略中心、报表中心及系统管理。五大模块功能各有侧重点,相互作用,使系统具备了以下功能,帮助系统管理员解决实际问题。
(1) 系统实时监控
不仅对自身性能(CPU使用率、内存使用率和硬盘使用率)进行状态监控,还对信息系统数据库产生的安全事件进行24小时监控,并以统计图表的形式展示,让管理员一目了然。
(2) 事前预防
准确的定位各种风险事件行为,检测到威胁时可根据用户需求进行告警,将业务系统的风险事件防范工作,由被动式的事后分析,提升到主动式全面预防的水平。
(3) 有效、准确的识别规则
任何违反审计规则的操作都会被检测,做到准确、有效地识别具有风险的行为。
(4) 事中现场取证
通过实时监测并智能地分析、还原各种数据库操作,解析数据库操作,还原SQL操作语句;跟踪数据库访问过程中的所有细节。提供数据库操作行为、应用服务器行为、终端录像实现事后审计,为追踪、惩罚犯罪份子提供强有力的证据。
(5) 报表管理
除了根据安全经验和行业需求提供了预定义的报表模板外,管理员还可利用自定义报表功能根据需要定制报表。此外还可将生成的报表发送到指定邮箱,方便查阅。同时支持导出报表。
(6) 审计日志管理
保存大量数据库审计日志的同时,还支持对早期的数据进行归档。当需要时可以通过数据回档的形式调阅早期的数据。解决了海量数据的有效存取的问题,为用户提供更全、更有效的数据。
系统将系统角色划分为四类:系统管理员、系统审计员、系统安全员、系统监察员。每类角色对系统拥有不同的访问、控制权限。具体如下:
(1) 系统管理员(admin)
系统默认用户名及密码为:admin/admin。对系统的主要操作包括:
· 个人信息管理。
· 查看系统运行状态。
· 系统运行参数配置。
· 此外无权操作其它角色功能。
若首个版本为E6203之前,默认账号密码为:sys/sys。从低版本升级到E6203及之后版本,保持升级前的密码不变(即:若升级前为默认密码,则升级后为admin/sys;若升级前修改过密码,则升级后为admin/升级前的用户密码)。
若首个版本为E6203及之后版本,默认账号密码为admin/admin。
(2) 系统审计员(audit)
系统默认用户名及密码为:audit/audit。对系统的主要操作包括:
· 个人信息管理。
· 查看系统运行状态。
· 查看其他角色的操作日志信息。
· 无权操作其它角色功能。
(3) 系统安全员(sec)
系统默认用户名及密码为:sec/sec。对系统的主要操作包括:
· 个人信息管理。
· 查看系统运行状态。
· 与业务有关的操作及信息查看。
· 无权操作其它角色功能。
(4) 系统监察员(mon)
系统默认用户名及密码为:mon/mon。对系统的主要操作包括:
· 个人信息管理。
· 与业务有关的操作及信息查看。
· 无权操作其它角色功能。
四类角色对系统的操作权限不同,分别被赋予了不同的权限,参见表1-1。
|
一级菜单 |
二级菜单 |
admin |
audit |
sec |
mon |
|
监控中心 |
运行状态 |
√ |
√ |
√ |
- |
|
安全态势 |
- |
- |
√ |
- |
|
|
流量钻取 |
- |
- |
√ |
- |
|
|
统方事件 |
- |
- |
√ |
√ |
|
|
事件查看 |
- |
- |
√ |
- |
|
|
入侵事件 |
- |
- |
√ |
- |
|
|
流量探针 |
√ |
- |
- |
- |
|
|
监察视图 |
- |
- |
- |
√ |
|
|
审计中心 |
语句查询 |
- |
- |
√ |
- |
|
URL审计 |
- |
- |
√ |
- |
|
|
行为审计 |
- |
- |
√ |
- |
|
|
SQL模板 |
- |
- |
√ |
- |
|
|
因子监测 |
- |
- |
√ |
- |
|
|
网络审计 |
- |
- |
√ |
- |
|
|
对比分析 |
- |
- |
√ |
- |
|
|
报表中心 |
报表任务 |
- |
- |
√ |
√ |
|
事件报表 |
- |
- |
√ |
- |
|
|
统方报告 |
- |
- |
√ |
√ |
|
|
报表查看 |
- |
- |
√ |
√ |
|
|
策略中心 |
监听配置 |
√ |
- |
√ |
- |
|
事件定义 |
√ |
- |
√ |
- |
|
|
对象管理 |
√ |
- |
√ |
- |
|
|
客户端信息 |
√ |
- |
√ |
- |
|
|
敏感信息 |
√ |
- |
√ |
- |
|
|
事件响应 |
√ |
- |
√ |
- |
|
|
三层关联 |
√ |
- |
√ |
- |
|
|
入侵检测规则 |
√ |
- |
√ |
- |
|
|
交换机信息 |
√ |
- |
√ |
- |
|
|
系统管理 |
网络配置 |
√ |
- |
- |
- |
|
用户管理 |
√ |
√ |
√ |
√ |
|
|
系统服务 |
√ |
- |
- |
- |
|
|
日志响应 |
√ |
- |
- |
- |
|
|
数据归档 |
- |
- |
√ |
- |
|
|
调试工具 |
√ |
- |
- |
- |
|
|
配置管理 |
√ |
- |
- |
- |
|
|
系统信息 |
√ |
- |
- |
- |
|
|
管理主机 |
√ |
- |
- |
- |
|
|
运行日志 |
√ |
- |
- |
- |
|
|
操作日志 |
- |
√ |
√ |
- |
|
|
高级功能 |
数据支撑 |
√ |
- |
- |
- |
admin、audit、sec、mon是系统超级用户,四个超级用户默认是不可以被删除。
各角色除了上表描述的权限外,还拥有对本组用户增删改查的权限。且admin就类似信息科人员,协助纪检科定义准确的统方规则。所以分配他们对象定义及事件定义的权限。
系统登录界面为各个系统角色的登录入口,同时,在登录界面右上角还提供系统配套工具的下载,包含火狐浏览器安装包、历史数据回档客户端、录屏客户端与工具以及流量探针客户端。注意,若默认账户第一次登录系统,系统将强制要求修改用户密码。
图1-2 登录界面
图1-3 工具下载
图1-4 H3C数据库审计系统主界面
上图是系统界面的分布图,每个区分别是:
1、产品名称;2、系统提示栏;3、账户信息;4、左栏菜单;5、功能操作区。
下面逐个介绍各个区的主要功能。
此处放置的是产品名称。
本系统中放置了三个图标,分别显示了最近7天内管理员未查看的高可疑、中可疑、低可疑事件的统计。单击对应的图标会跳转到“事件查看”界面,相关的内容可以参考“事件查看”部分的介绍。如下图所示从左到右依次是高、中、低可疑事件的状态提示。
图1-5 系统提示栏
当统计数量超过99条时,系统将显示“99+”,鼠标移动到在数值上可以看到7天内事件的等级和发生统计结果。如下图所示
图1-6 悬浮提示
点击当前登录用户旁的下拉按钮可以更改当前用户密码和个人设置及锁定,如下图所示:
图1-7 账户信息
(1) 修改密码
点击<修改密码>后在弹出的[修改密码]对话框中输入旧密码重设密码,注意,新密码不能与旧密码相同,如下图所示:
图1-8 修改密码
(2) 个人设置
点击<个人设置>修改个人基本信息,具体内容如下图所示:
图1-9 修改个人信息
(3) 锁定
点击<锁定>后,系统将锁定在当前界面,无法操作,用户需要重新输入登录密码后才能正常操作,如下图所示:
图1-10 锁定状态
左栏是系统的菜单栏,点击后可以逐级查看菜单,点击二级菜单后在右栏功能操作区进行相关操作。默认为收缩,可点击展开。
左侧导航栏新增时间提示,将硬盘存储的使用情况、预计可用时间、系统健康状态等常用信息移至左侧栏展示。
图1-11 左栏菜单
是系统主要工作区域,展示系统各种信息,及各项参数配置。
建议使用火狐浏览器,以达最佳用户体验。
监控中心主要是监控系统状态。对系统运行状态,最近发生的可疑的事件进行监控。帮助管理员及时掌握系统的状态。如下图所示:
图2-1 监控中心
在左栏菜单中[监控中心/运行状态],功能操作区界面包含的内容:业务系统监听正常情况、今日审计数据量、今日告警事件数、设备运行健康度、无故障运行时间等设备状态,系统状态,系统资源使用情况,网络设备连接状态、监听网卡流量、登录日志等信息。通过查看可以观测系统的运行状态及健康状态。如下图所示:
图2-2 运行状态
下面逐个介绍各个部分:
点击右下角
按钮,即可展开重要系统通知。当侦测到硬盘错误、试用license过期、无配置备份、系统掉电、监听网卡断开重连等17类系统异常时,弹窗提示用户阅览,并为部分消息类型提供及时处理操作的跳转功能。如下图所示:
图2-3 重要消息弹窗
注意
根据权限的不同,将提示不同的消息提示类型。此功能出现于所有界面。
为运行状态页的展示提供30分钟、1小时、2小时、8小时、12小时、1天、7天、30天、90天等丰富的时间范围选项,如下图所示:
图2-4 时间条
当选择不同长度的时间范围项时,运行状态页中有关分析项的统计时间间隔也不同,如下图所示:
图2-5 时间选项
· 30分钟、1小时:统计时间间隔有1分钟、10分钟。
· 2小时、8小时:统计时间间隔有1分钟、10分钟、1小时。
· 12小时:统计时间间隔有10分钟、1小时。
· 1天:统计时间间隔有10分钟、1小时、8小时。
· 7天:统计时间间隔有8小时、1天。
· 30天、90天:统计时间间隔有1天、1周。
监测业务系统监听正常情况、设备运行健康度、今日数据库审计数据、今日WEB审计数据、今日告警数据库事件数、今日告警WEB事件数、数据库会话统计、系统连续运行时间等设备状态,如下图所示:
图2-6 设备状态
· 监听服务:显示业务系统监听服务是否正常。
· 健康度:显示系统运行情况、健康程度。
· 今日数据库审计数据:按小时统计每日零点开始的数据库审计数,鼠标停留可显示该小时的数据库审计数和昨日同时段的数据库审计数。
· 今日WEB审计数据:按小时统计每日零点开始的WEB审计数,鼠标停留可显示该小时的WEB审计数和昨日同时段的WEB审计数。
· 今日告警数据库事件:显示系统每日产生的高可疑、中可疑、低可疑数据库事件的统计,鼠标停留可显示具体明细数。
· 今日告警WEB事件:显示系统每日产生的高可疑、中可疑、低可疑WEB事件的统计,鼠标停留可显示具体明细数。
· 数据库会话统计:按小时统计每日零点开始的数据库会话数,鼠标停留可显示该小时的数据库新建会话数和该小时的数据库活跃会话数。
· 系统连续运行时间:自系统开机伊始,计算系统持续运行时间,系统重启后将重新开始计时。
以曲线图的方式形象地展示处理及保存到WEB明细/数据库的业务、会话、事件、CPU、内存、系统负载等状态。当系统负载过高时需要引起管理员的注意,并采取相应的控制措施。统计时间间隔有1分钟、10分钟、1小时、8小时、1天、1周,具体时间间隔情况详见[时间条]说明,如下图所示:
图2-7 系统状态
将鼠标放在统计图上可以查看具体时间段该记录项的名称与数量,如下图所示:
图2-8 具体数值
D2000-V、D2000-C系列虚拟数据库审系统不支持此功能。
展示与物理设备面板一一对应的网卡模拟展示图,根据实际连线情况实时展示网卡当前接线状态,并以水量方式展示网卡当前负载。如图如下图所示:
图2-9 网卡信息
展示硬盘及固态盘的I/O利用率。如下图所示:
图2-10 硬盘及固态盘I/O
设备型号为D2035-G和D2055-G,设备支持RAID1模式,RAID 1通过磁盘数据镜像实现数据冗余,在成对的独立磁盘上产生互为备份的数据。如下图所示
图2-11 RAID模式
为硬盘提供数据库文件、交换文件、备份文件、数据库缓存、索引文件等丰富的文件存储状态展示,显示空间使用情况、健康状态,并智能的预计剩余硬盘空间可用的天数供管理员参考。如下图所示:
图2-12 存储状态
点击右侧图例按钮可设置该类文件存储状态进行隐藏或显示,如下图所示:
图2-13 隐藏选项
将鼠标放置在条形图上可以查看已用和剩余空间量,如下图所示:
图2-14 查看容量情况
· 预计可用天数:根据系统运行情况,分析平均每天审计数据占用硬盘空间的百分比,通过与剩余空间比较,预算出系统硬盘空间的可用天数。
· 健康状态:当硬盘状态正常时,健康状态显示为正常,当硬盘状态为异常时,健康状况显示为异常。
通过曲线图实时展示监听网卡的网络流量,统计时间间隔包括1分钟、10分钟、8小时、1天、1周,具体时间间隔情况详见[时间条]说明,如下图所示:
图2-15 监听网卡流量
展示系统用户登录、动作的记录情况,具体参数如下图所示:
图2-16 登录日志
在左栏点击[监控中心/安全态势],在右栏的功能操作区中打开界面,根据业务系统及时间的不同,将最近发生的事件多元化地展现给用户。包含的内容有:告警事件列表、新增因子、威胁事件统计、审计数据统计、在线用户数统计、当前会话数、流量统计等信息。如下图所示:
图2-17 安全态势界面
可根据业务系统和统计时间范围的不同,选择需要查看的业务系统某个时间范围内的分析情况,如下图所示:
图2-18 选择业务系统和时间范围
1、统计间隔可参考2.2运行状态的[时间条]说明。
2、根据选择的时间范围,展示的统计数据的范围以当前时间为截止时间,往前计算统计开始时间,精确度由选择的时间范围决定。假设当前时间为6月15日10:04:23,选择7天、30天、90天的时间范围,则精确度为天(如选择7天,统计开始时间为6月15日往前计算7天,即6月9日00:00:00);选择1天、12小时、8小时、2小时的时间范围,则精确度为小时(如选择12小时,统计开始时间为6月15日 10:00:00往前计算12小时,即6月14日22:00:00);选择1小时、30分钟的时间范围,则精确度为分钟(如选择30分钟,统计开始时间为6月15日 10:04:00往前计算30分钟,即6月15日09:34:00)。
3、刚生成的事件大约5分钟后才会被计算入最近数据库事件数中。
点击高、中、低可疑事件数,即可展开告警事件列表,从告警事件列表中可以看到事件发生的时间、地点、源IP,更多详尽的数据,协助管理员对事件进行核查、分析。如下图所示:
图2-19 最近事件数
在列表中点击某个记录后面的
按钮查看事件的详细信息。主要有:发生的时间、事件描述、事件相关的客户端信息、服务端信息及其它关联的信息。如下图所示:
图2-20 事件追踪
以表格的形式概要展示事件的相关信息,包括事件时间、描述、客户端信息、服务端信息、语句及语句翻译。各项信息描述如下:
· 事件时间:包括事件发生、结束时间,时间精确到时、分、秒。
· 事件描述:用通俗易懂的语言概括该事件的时间、地点、人物、事件,让用户快速了解该事件。
· 客户端信息:该事件相关的客户端信息,包括该终端的使用者IP(或业务账号)、源端口、客户端MAC计算机名等协助管理员定位事件的主体,除此之外还有事件发生的地点,鼠标停留在事发地点旁的查看详细,可以查看事发的物理位置。如下图所示:
图2-21 客户端信息
此处所展示信息内容,依据[策略中心/客户端信息]中配置。
· 服务端信息:服务端信息包括:服务器IP地址,目标端口号,事件涉及的敏感信息,以及登录数据库的用户名。如下图所示:
图2-22 服务端信息
· 语句翻译:对触发规则的语句进行人性化的智能翻译,用户不必精通数据库也可以很容易看懂该事件的操作内容。如下图所示:
图2-23 语句翻译
语句翻译仅针对关键词进行翻译,目前不支持自定义翻译规则
· 查看更多相关信息:点击<查看更多相关信息>可以查看完整的数据库访问行为,如下图所示:
图2-24 更多相关信息
· 查看返回值:点击<查看返回值>,可以查看操作后系统返回的详细信息。设备可自动将敏感信息进行掩码,用“*”替换其内容。
系统自动对敏感信息进行掩码,用“*”替换其内容。
图2-25 查看返回值
· 设置为统方:将该事件设置为统方。该项设置只对本事件生效,未来发生的同类事件不会被识别为统方事件。如下图所示:
图2-26 确认
· 设置为安全:将该事件设置为安全。该项设置只对本事件生效,未来发生同样的事件并不会被识别为安全事件。如下图所示:
图2-27 确认
· 添加到规则:将本事件设置为规则,并对未来发生的事件生效,设置成功后可在[策略中心/事件定义]的数据库应用规则,进行修改、删除等相关操作。如下图所示:
图2-28 添加到规则
· 设置此类语句为统方:在“事件追踪”页面中,点击<设置此类语句为统方>在弹出[确认]的对话框中点击<确定>,系统将会把与同类事件(相同SQL模板)设置为统方事件。
图2-29 确认
· 设置此类语句为安全:在“事件追踪”页面中,点击<设置此类语句为安全>在弹出[确认]的对话框中点击<确定>,将会新增一条规则——把与该事件语句结构相同的语句设置为安全事件。
图2-30 确认
· 在点击<设置此类事件为安全>后,可以选择“是否将当前事件日期的最近90天内,同类事件的处理状态标记为安全状态”:选择<确定>后,在“事件查看”页面,会将最近前90天内的同类事件(相同SQL模板)的处理状态设置为“安全”。
图2-31 确认
在此页面可以查看到与该事件关联的其它信息。如该会话中的其它数据库操作,终端录屏,Telnet外连事件,FTP事件,URL关联。
并不是每个事件的关联信息都有FTP、Telnet、终端录像这些关联信息。
· 操作信息:展示与该事件关联的数据库操作信息,如下图所示:
图2-32 操作信息
· 终端录像:当发生风险事件时,系统向用户提供了事发前后5分钟,即共10分钟的终端录像。点击<下载>,可以将视频下载到本地进行播放。
图2-33 终端录像
· Telnet操作:系统审计到了与事件关联的Telnet操作,用户可以直接在界面中回放。
图2-34 Telnet 操作
单击某记录,即可查看:
图2-35 Telnet 会话播放
· FTP事件
图2-36 FTP事件
单击记录可以查看播放:
图2-37 FTP 会话播放
对最近时间范围内审计到的会话数、明细条数以及触发告警的事件数进行统计,如下图所示:
图2-38 最近审计数据统计
图中纵坐标的单位是k(条)即千(条),M(条)即百万(条)
将鼠标放在统计图上可以查看具体的数量,如下图所示:
图2-39 具体数据
通过单击图表右侧的图例可以显示或隐藏该项数据的统计图;
当某项统计结果与其它两项有很大的差距导致在图上无法识别,除了将鼠标放置在图标上查看外,还可以通过将另外两项数据都隐藏掉来查看,如下图所示:
图2-40 隐藏选项
由于“明细”统计结果数量与其它两项结果差距很大,隐藏了“明细”这类后可以清楚的看到其它两类的统计结果。
为管理员展示最近时间范围内系统发生的高、中可疑风险事件趋势统计图,可快速掌握最近时间范围内事件发生的“高峰期”,如下图所示:
图2-41 最近威胁事件数
鼠标悬停可显示相关信息,点击右侧的图例可以隐藏或显示某类事件统计图。
监测最近统计时间范围内,各类因子对象的创建、更新情况,提供发现新增因子的提醒,以因子名称表项页显示红点的方式展示,方便查看。如下图所示:
图2-42 最近新增因子
实时监控系统当前在线用户数量、并发会话数量,如下图所示:
图2-43 在线用户数
鼠标悬停可显示相关信息,点击右侧的图例可以隐藏或显示某类统计图。
以点-线的形式描述当前服务器与客户端的连接关系,由客户端指向服务端,如下图所示:
图2-44 当前会话数
图表左侧是服务端和客户端的图例,右侧是它们之间的连接关系,图中的节点表示不同的客户端或服务器,节点之间的连线表示会话连接。
· 隐藏或显示某节点
点击图例中的各点可以使该点在右侧连接关系图中隐藏或显示,如下图所示是隐藏了服务端192.168.100.38后,其它服务端与所有客户端的连接关系。
图2-45 隐藏数据
· 查看节点信息
鼠标停留在连接关系图某节点上会显示该节点的IP地址。
图2-46 具体数据
· 会话信息
鼠标停留在某连线上,系统会展示该会话连接的双方。如下图所示:
图2-47 会话信息
拖拽连接关系图中的节点可移动该节点而不影响原有的连接关系。
图2-48 最近流量
右侧图例及各项的含义:
· PQ:最近已处理的业务条数。
· SQ:最近已保存到数据库的业务条数。
· PS:最近已处理的会话业务条数。
· SS:最近已保存到数据库的会话业务条数。
· PA:最近触发的事件条数。
· SA:最近已保存到数据库的事件条数。
鼠标悬停可显示相关信息,点击右侧的图例可以隐藏或显示某类统计图。
默认向用户提供了系统的八个数据统计表,让用户展示系统相关数据统计,便于用户快速了解业务系统运行情况。流量钻取默认包括以下统计信息:
· 在线会话信息。
· 告警事件类型统计。
· 告警事件级别统计。
· 数据库用户名统计。
· 应用程序名统计。
· 客户端计算机名统计。
· 操作方式统计。
· 执行时长大于20秒。
除“在线会话信息”外,报表若不希望统计信息在此页面展示,用户可以到[报表中心/报表任务]中修改报表任务,并将发送到流量钻取项前的钩去掉。
此外用户也可以将流量周期性统计报表发送到[监控中心/流量钻取]中展示,但要求报表对象列表中的统计对象最多只能添加两个同类型对象。具体操作可以到[报表任务]“新建流量周期性统计报表”中查阅。
点击[监控中心/流量钻取],进入界面:
图2-49 流量钻取
左侧是统计表类型,右侧是统计表的内容,每个统计表都分两个模块:统计图表和详细信息表。在统计表中会有以下操作:
:力导向布局图切换按钮,点击后以力导图的形式展示图表信息。
:和弦图切换按钮,点击后以和弦图的形式展示图表信息。
:还原按钮,图表中的信息可以拖拽,可以按此按钮恢复到原样。
:保存为图片按钮,将统计图表保存为图片形式。点击该按钮后,右击弹出的图片将图片另存到自定义的目录下。
在线会话信息统计的是当天凌晨点开始的24小时内会话信息,以点-线的形式描述当前服务器与客户端的连接关系。并增加了详细的会话列表。如下图所示:
图2-50 在线会话信息
此处功能与运行状态中的[当前会话数]有点区别,后者具有实时性,并以一定频率实时刷新。
(1) 在线会话信息统计
图表的操作方式与2.3安全态势中的[当前会话数]一致,在此不再赘述。
(2) 会话列表
点击某个节点(客户端或服务端),将会以该节点为中心展示与它相关的会话信息。例如,上图中展示的是当天与服务端172.16.11.23相关的所有会话信息。
点击<显示更多>可以查看更多信息。
对触发告警的事件类型分类统计,统计范围包括今天、最近一周、最近一月三种。如下图所示:
图2-51 告警事件类型统计
(1) 统计图表
· 今天:今天凌晨至24点统计情况。
· 最近一周:最近七天的统计情况。
· 最近一月:最近30天的统计情况。
(2) 详细信息
统计表中点击某个统计项,下图将会展示该项的详细信息,如上图中:展示的是“今天”告警事件的类型统计,点击直方图“delete”,下方展示今天该类事件在“今天”某时发生的具体事件。
图2-52 告警事件类型详细信息
对已发生的事件按告警级别进行统计。界面如下图所示:
图2-53 告警事件级别统计
具体操作方式与告警事件类型统计相似。这里不再赘述。
统计各数据库用户及其访问数据库的次数。
图2-54 数据库用户名统计
上图是数据库用户名访问情况统计,下表展示的是具体某个用户名访问数据库的时间趋势。
统计访问数据库的所有应用程序名。点击某个应用程序可以查阅该程序访问的时间趋势。界面如下图所示:
图2-55 应用程序名统计
统计连接到数据库的客户端计算机名称,点击某个计算机名可查阅它访问数据库的时间趋势。界面如下图所示:
图2-56 客户端计算机名统计
对数据库操作方式进行统计,用户可通过查看统计结果初步判断是否有异常操作。
图2-57 操作方式统计
日常工作中对数据库的操作都比较简单,执行时间都比较短。对于大于20秒的操作是异常的,很可能是风险事件,用户借助统计结果初步判定哪些是风险事件。
图2-58 执行时长大于20秒
1.流量钻取的数据范围是针对整个审计系统的数据进行统计;
2. 用户名为空,代表相关会话的用户名解析失败,获取不到用户名,这个跟实际流量及客户端使用工具有关;
3. 会话都是代表未结束的会话,即在线会话;
满足医疗行业对防统方的业务安全需求,向用户展示发生可疑的统方事件,并对事件的时间、地点、人物、内容进行追踪、回溯。
统方事件默认基于中、高可疑事件的基础上要满足至少两个不同的敏感信息的配置,即可触发统方事件。
统方是对医生用药信息量、用药单据的统计。医药营销人员或医药代表通过获取统方数据后,对医生或部门发放每个月或一段时间的开单药品回扣。因此,该行为是医疗行业特有的,统方事件是我们针对医疗行业的一种违法业务行为而制定的一种敏感事件类型,它基于普通的事件匹配统方数据后生成。如客户不是医疗行业或不需要此功能,可不用配置。
左栏点击[监控中心/统方事件],右栏的操作功能区打开统方事件查看界面。用户可以根据关键字进行检索,查询条件主要有:处理状态、发生的时间范围、行为者(帐号)、操作内容、操作表名、计算机名、目标IP、应用程序名、数据库用户名、源IP、规则名称、事件ID、锁定状态、风险级别等。统方事件提供查看返回值功能,可通过点击<查看返回值>按钮,查看返回值信息。界面如下图所示:
图2-59 统方事件查看
点击某个记录后面的
按钮查看事件的详细信息。功能与本文档中“安全态势”中的事件追踪功能基本一致,唯一不同的是事件的处理的动作,如下图所示:
图2-60 事件查看/事件追踪页面
图2-61 统方事件页面
如上图所示,在统方事件模块中管理员“事件追踪”页面中除了可以查看更多相关信息、查看返回值,还可以人工对事件进行分类处理。
通过在事件追踪页面对事件发生的时间、地点、人物、内容,以及如该会话中的其它数据库操作、终端录屏、Telnet外连事件、FTP事件、URL关联等信息进行综合分析后,可以人工对事件进行进一步的判断、处理。人工处理即可将该事件“设置为统方”、“设置为疑似统方”、“设置为非统方”、“设置为合规统方”等。若都没有进行分类,在统方事件模块中事件的状态被标识为未处理。
· 设置为统方:通过综合分析,认为证据充足,将该事件人工判断为统方事件。
· 设置为疑似统方:通过综合分析,认为该事件可能是统方事件。
· 设置为非统方:经分析,认为该事件不是统方事件。
· 设置为合规统方:经分析,认为该事件是合规统方事件。
· 设置此类语句为安全:经分析,认为该类事件是安全事件。
通过配置[监听配置]页面中业务系统的返回值配置,可在统方事件中展示语句的返回值信息
图2-62 查看返回值
(1) 导出选中
将查询的结果按照用户的要求导出。点击
按钮弹出导出设置对话框如下图所示:
图2-63 导出记录设置
· 导出项设置:通过勾选展示列表中的字段来设置导出记录的各项内容,默认是导出处理状态、事发地点、发生时间、源IP、行为者(账号)、事件描述这六个关键信息。
· 导出文件格式设置:设置导出文件的格式
· 选择导出时,如果没有弹出框可能是浏览器阻止了弹出框。
提供可选加密功能,用户可根据需要自行选择是否加密,点击确定按钮后,在弹出框中可以选择直接打开或下载,如下图所示:
图2-64 下载加密选择
图2-65 未设置压缩密码
图2-66 已设置压缩密码
在系统页面使用导出、下载等功能前,请先对浏览器设置允许页面弹出窗口,否则可能因弹窗被浏览器阻止,从而导致导出、下载等功能失败。
(2) 导出全部
用户可将查询结果全部导出,点击<导出全部>按钮,选择导出项与导出文件格式后<确定>,即可导出全部。
(3) 生成统方报告
统方报告中展示了某个事件的相关信息,并对其进行分析、总结。报告包含了这些内容:报告基本信息,事件基本信息,事件描述以及系统对该事件的分析总结。
勾选统方事件后点击
按钮,系统自动生成事件统方报告并在新的页面打开。如下图所示:
图2-67 统方报告
· 报告基本信息:用户填写报告编制人、编制单位、创建时间后,可以点击报告标题旁的“保存”按钮保存该报告。已保存的报告可以在[统方事件/统方报告]中检索、查阅。
· 事件基本信息:事件基本信息中概述了统方事件及其危害,并提供了该统方事件的基本信息,主要包括:发生时间、涉及的HIS数据库地址、中间件服务器地址、发起该事件的用户(IP地址),以及该用户所使用的工具,以及该事件的触发条件。
· 事件描述:使用通俗易懂的语言文字对事件进行概述。
· 分析总结:系统综合报告中的与事件相关的所有信息,对该事件进行总结,为管理员提供处理该事件的建议。
· 原始数据:记录该事件原始操作语句数据。
(4) 锁定
统方事件提供永久保存功能。如某事件需长期保存,勾选该事件,点击“锁定”按钮,提示是否锁定,确认后,该事件被锁定,系统不会自动删除该事件。
图2-68 锁定
(5) 解锁
如若锁定的某事件无需长期保存,勾选该事件,点击“解锁”按钮,提示是否解锁,确认后,该事件被解锁,系统到期会自动删除该事件。
图2-69 解锁
左栏点击[监控中心/统方事件],右栏的操作功能区打开统方事件统计界面。用户可根据事件状态、时间范围进行检索,结果统计汇总到下方列表,如下图所示:
图2-70 统方事件统计
如需打印此表可点击
按钮,即可打印。如下图所示:
图2-71 打印统方汇总表
用户可以在事件查看中查询包含风险事件在内的所有数据库操作风险事件。管理员可以在此查看事件ID、风险级别、发生时间、源IP、事件描述、事发地点、处理状态、锁定状态、操作等相关信息。此外通过<事件追踪>,查看更加详细的信息,对事件进行追踪核查后调整优化事件的识别规则。
点击左栏菜单中的[监控中心/事件查看],打开的事件查看界面如下图所示:
图2-72 事件查看
可以根据时间范围、风险级别、源IP、锁定状态、规则名称、事件ID、事件类型、处理状态、SQL模板编号和业务系统等关键字进行检索。
在检索列表右侧点击事件追踪,可以在新窗口中查看事件更详细的信息及调整识别规则。如下图所示:
图2-73 事件追踪
(1) 查看详细的操作
点击<查看更多相关信息>可以查看完整的数据库访问行为,如下图所示:
图2-74 更多相关信息
(2) 调整识别规则
在查看、分析事件的具体操作,终端录像等相关信息后,用户可以调整、优化系统现有的识别规则。
系统为事件提供了与该事件相关的操作信息、终端录屏、URL关联、Telnet操作和FTP事件等信息,但若该事件没有配置相应的信息则界面不会展示出来。
图2-75 展示
· 查看返回值
[事件查看/事件追踪]提供查看返回值功能,可通过点击<查看返回值>按钮,查看返回值信息。
图2-76 查看返回值
· 设置为统方
将该事件设置为统方。该项设置只对本事件生效,未来发生同类的事件不会被识别为统方事件。如下图所示:
图2-77 确认
· 设为安全
认为系统识别不准确,该事件是安全的,点击<设置为安全>后,在弹出[确认]框中点击<确定>将该事件设置为安全事件。
图2-78 设为安全
若同类语句中没有识别的语句,在此处设置为安全将无效。
· 添加到规则
点击<添加到规则>后,用户在弹出[添加到规则]框中根据该事件的内容,设置规则(设置成功后可在[策略中心/事件定义]的[数据库应用规则]中查看、修改此规则)。如下图所示:
图2-79 添加到规则
· 规则状态:设置规则的是否启用,停用即此规则不生效。
· 风险级别:设置事件的风险等级。
· 规则动作:设置为记录才会产生事件,若设为丢弃,则是过滤该事件,即过滤规则。
· 设置此类语句为统方
通过人为分析认为该事件为统方事件,可在“事件追踪”页面中,将其同类事件(相同SQL模板)设置为统方事件。点击<设置此类语句为统方>在弹出[确认]的对话框中点击<确定>。如下图所示:
图2-80 确认
· 设置此类语句为安全
将此类语句为安全:在“事件追踪”页面中,点击<设置此类语句为安全>在弹出[确认]的对话框中点击<确定>,将会新增一条规则,把同类事件(SQL模板相同)设置为安全事件。
图2-81 确认
· 在选择<此类语句设置为安全>后,可以选择“是否将当前事件日期的最近90天内,同类事件的处理状态标记为安全状态”,选择<确定>后,系统会将最近前90天内,同类事件(相同的SQL模版)的处理状态设置为“安全”。
勾选需要导出的记录后,点击 
,在弹出[导出记录设置]的对话框中,进行导出设置后,点击<确定>,并在弹出密码设置框中,选择是否加密后即可。若是需要导出当前全部的记录可以点击
,导出项设置包含数据库事件、WEB事件。导出文件格式包括,XML格式、CSV格式、EXCEL格式,默认为CSV格式。如下图所示:
图2-82 导出记录设置
图2-84 未设置压缩密码
图2-85 已设置压缩密码
导出的数据库事件文件里包含事件明细的具体内容:事件ID、风险级别、发生时间、源IP、事件描述、事发地点、锁定状态、服务器IP、触发告警的语句(不包含完整会话信息)、数据库用户名、使用工具、计算机名。
导出WEB事件的文件里包含事件明细的具体内容:事件ID、风险级别、发生时间、源IP、事件描述、事发地点、锁定状态、服务器IP、请求方式、返回编码、引用页、用户代理、请求数据、响应数据。
用户实际操作时,可根据目前的检索条件,筛选事件内容,获得查询结果,点击导出按钮将查询结果导出成XML、CSV、EXCEL文件。隐含要约:导出的文件不超过1000条事件。
如某事件需长期保存,勾选该事件,点击<锁定>按钮,提示是否锁定,确认后,该事件被锁定,系统不会自动删除该事件。
图2-86 锁定
WEB事件暂无锁定功能。
如若锁定的某事件无需长期保存,勾选该事件,点击<解锁>按钮,提示是否解锁,确认后,该事件被解锁,系统到期会自动删除该事件。
图2-87 解锁
选择一条或多条事件,点击<设置为已读>后确定,将把选中的事件状态设置为已读。
图2-88 设置为已读
点击<全部设置为已读>后确定,将把所查询的所有的事件状态设置为已读。
图2-89 全部设置为已读
用户可以在入侵事件中查询所有触发数据库入侵检测规则的事件,管理员可以在此查看事件发生的时间、规则名称、风险级别、规则类别、发起IP、目标IP、源端口、目标端口、编号、协议等相关信息。此外通过查看按钮,可以查看证据详细的信息。
点击左栏菜单中的[监控中心/入侵事件],进入入侵事件界面,如下图所示:
图2-90 入侵事件
根据时间范围、发起IP、源端口、目标端口、目标IP、处理结果、规则类别、风险级别、协议、规则ID、规则名称等关键字进行检索。在检索列表左侧点击
按钮,可以在新窗口中查看事件证据更详细的信息。如下图所示:
图2-91 关联证据
以表格形式展示证据的相关信息,包括证据信息、报文特征等:
· 证据信息:该事件相关的证据信息,包括触发规则、触发时间、规则ID、风险级别、端口、IP等。
· 查看规则详情:点击<查看规则详情>可以展开规则的相关信息,点击<隐藏规则详情>将信息隐藏。如下图所示:
图2-92 规则详情
· 此证据设置为非安全:在展开的规则详情页面中,点击<此证据设置为非安全>在弹出[确定]的对话框中点击<确定>,将会把该证据设置为非安全事件。
图2-93 此证据设置为非安全
· 此证据设置为安全:在展开的规则详情页面中,点击<此证据设置为安全>在弹出[确定]的对话框中点击<确定>,将会把该证据设置为安全事件。
图2-94 此证据设置为安全
· 停用此规则:将触发的规则设置停用(状态可在入侵检测规则页面查看),未来不会触发该规则,如下图所示:
图2-95 停用此规则
在此页面可以查看到与该证据关联的其它信息,如相同发起IP、相同目标IP、相同规则、同类证据,点击关联证据列表中的某条证据的<查看>按钮,即可跳转到该证据详情页面,以便用户审核分析。如下图所示:
当勾选关联证据页面的[七天数据]时系统将把此证据最近7天的关联证据展示,不勾选则展示此证据当天关联数据,默认不勾选。
勾选需要导出的记录后,点击 
,若是需要导出当前全部的记录可以点击 
,在弹出[导出记录设置]的对话框中,进行导出设置后,点击<确定>,并在弹出密码设置框中,选择是否加密后即可。导出项设置包含时间、规则名称、风险级别、类别、发起IP、目标IP、源端口、目标端口、协议。导出文件格式包括,XML格式、CSV格式、PDF格式以及HTML格式,默认为CSV格式。如下图所示:
图2-97 导出记录
图2-98 下载加密选择
图2-99 未设置压缩密码
图2-100 已设置压缩密码
导出全部按钮同导出选中按钮。
左栏点击[监控中心/监察视图],右栏的操作功能区打开监察视图界面。监察人员可通过监察视图,查看统方事件的统计情况,同时可根据账号为对象进行二次钻取,展示统方事件分布。
以日历为主线,向用户以日、周、月的形式向用户展示统方事件的统计情况。通过点击日历来查询某日的统方事件数量统计,同时在左侧栏下方展示当日、当周、当月的触发事件统计情况,以及当日涉及疑似统方账号前10的账号统计,如下图所示:
图2-101 监察视图
监察视图的[数据查看]别分以日、周、月时间段进行分类统计,让数据直观地展现于用户面前。
· 日
统计当日事件数和涉及疑似统方账号数,建立账号-统方事件数据统计图。点击直方图,下方将展示当日自凌晨起24小时里具体发生事件的数量,鼠标移动至某个节点,便可查看该账号在某时刻的统方事件详细统计。如下图所示:
图2-102 日数据统计
如需查看此账号的统方事件,可点击该节点即可跳转至[统方事件],查看该账号统方事件的详细信息。
· 周
将查询日当周的发生事件数据进行统计,统计当周统方事件数和涉及疑似统方账号数,建立账号-统方事件数据统计图。点击直方图,下方将展示自查询日当周里具体发生统方事件的情况,鼠标移动至某个节点,便可查看该账号某时的统方事件详细统计。如下图所示:
图2-103 周数据统计
· 月
将查询日当月的发生事件数据进行统计,统计当月统方事件数和涉及疑似统方账号数,建立账号-统方事件数据统计图。点击直方图,下方将展示自查询日当月里具体发生统方事件的数量,鼠标移动至某个节点,便可查看某时该账号的统方事件详细统计。如下图所示:
图2-104 月数据统计
[监察视图]的统方事件查看与处方查询分析与[统方事件]中的功能和使用相同,此处不再赘述。
管理员可在流量探针页面统一管理流量探针,查看所有流量探针信息,并管理流量探针基本信息配置、指定端口/IP审计配置、版本升级、删除等。
点击左栏菜单栏[监控中心/流量探针],打开界面如下图所示:
图2-105 流量探针
在WINDOWS或LINUX服务器上正确安装且配置流量探针后,需在系统的流量探针页面对该服务器的流量探针进行注册,系统才能正常接收并审计流量探针转发的流量。
在流量探针页面中,点击“未注册探针”的<全部>按钮,下方展示未注册流量探针列表。点击需注册流量探针前的
按钮,打开修改探针配置窗口。管理员可按实际业务配置流量探针相关信息,可配置内容包括:探针基本信息、指定端口审计、指定IP审计等。配置完成后,点击<确定>按钮,即可注册该流量探针,并移入已注册探针列表,流量探针开始转发流量。如下图所示:
图2-106 注册流量探针
流量探针注册状态划分为:已注册探针、未注册探针。
已注册探针可分类为三种状态:正常、异常、离线。点击页面“已注册探针”的状态分类按钮,可在页面下方展示该类流量探针列表,如点击“全部”即可在下方以列表方式展示全部已注册流量探针信息。流量探针列表展示信息包括:探针名称、探针IP、探针版本、探针状态、流量、探针CPU占用、探针内存占用、监听网卡、服务器操作系统、备注等。同时,可根据探针名称、探针IP、服务器操作系统、关联业务系统等条件对流量探针进行查询。如下图所示:
图2-107 已注册流量探针
探针状态说明:
· 正常流量探针正常运行,未出现异常状况。
· 离线:流量探针与数据库安全审计系统失去通讯超过两分钟,则系统判断为离线状态。若离线超过10分钟,将触发系统弹窗告警。
· 异常:
a. 系统超过1分钟未收到流量探针转发的流量,则认定为异常状态,连续10分钟无流量则会触发弹窗告警。
b. 流量探针CPU使用率超过10%,则认定为异常状态,并触发弹窗告警。
c. 流量探针内存使用率超过5%,则认定为异常状态,并触发弹窗告警。
点击页面“未注册探针”的<全部>按钮,可在下方以列表方式展示所有未注册流量探针信息。流量探针列表展示信息包括:探针名称、探针IP、探针版本、探针状态、流量、探针CPU占用、探针内存占用、监听网卡、服务器操作系统、备注等。同时,可根据探针IP对流量探针进行查询。
如下图所示:
图2-108 未注册流量探针
在已注册探针列表,点击需修改流量探针前的
按钮,打开修改探针配置窗口。按实际业务修改探针配置,可配置探针名称、监听网卡、关联业务系统、指定端口、指定IP审计及是否支持vlan数据等,最后点击<确定>按钮。具体配置参数如下图所示:
图2-109 修改探针配置
· 探针名称
用于标识探针名称,为必填项。
· 备注
用于备注流量探针相关信息,便于用户查阅和管理,为选填项。
· 监听网卡
用于配置流量探针客户端需要转发流量的网卡,为必填项。
· 关联业务系统
用于标识流量探针转发的数据源,关联业务系统,为选填项。
· 指定端口/IP审计配置
流量探针支持转发流量过滤,可转发对指定端口/IP的流量。支持过滤内容包括端口、IP及IP网段信息,数据范围支持包含与不包含。设置包含后,仅在包含范围内的数据才会被转发。设置不包含后,在不包含范围内的数据不会被转发。如包含与不包含的配置范围重叠,不包含的优先级更高。
流量探针注册并配置后即开始转发流量,但还需在监听配置-业务系统配置监听相关的数据库后,系统才能审计到语句。
在已注册流量探针列表,点击某行流量探针行的任意位置,以图表方式展开流量探针的详细信息,展示信息包括操作系统/版本、探针注册时间、最后更新时间、探针运行时间、探针CPU占用统计、探针内存占用统计、关联业务系统、指定端口/IP审计等。如下图所示:
图2-110 流量探针详情
需对某个流量探针进行版本升级操作时,点击流量探针前的
按钮,在弹出的[确认]对话框中,点击<确定>按钮,系统开始升级流量探针。
图2-111 升级确认框
需对全部流量探针进行升级操作时,点击流量探针页面的
按钮,在弹出的[确认]对话框中,点击<确定>按钮,系统开始批量升级已注册列表下的全部流量探针。如下图所示:
图2-112 全部升级确认框
依据现场网络情况,升级过程可能会持续一段时间。此时,刷新流量探针页面,会发现探针可能处于升级准备或者升级中状态。
若流量探针升级成功,系统更新该流量探针的版本信息。若升级失败,系统提示相关的失败信息。
流量探针页面不支持旧版本探针客户端(1.1.3版本之前)的连接和升级。
升级流量探针需要符合升级条件,即系统内置的流量探针安装包版本高于连接上系统的流量探针版本。
需删除某个流量探针时,点击流量探针前的
按钮,在弹出的[确认]对话框框中,点击<确定>按钮,系统在页面移除该流量探针。如下图所示:
图2-113 删除确认框
需清空所有已注册流量探针时,点击页面的
按钮,在弹出的[确定]对话框框中,点击<确定>按钮,系统在页面移除全部流量探针。
图2-114 清空流量探针列表
如果在服务器上的探针未被卸载,且与数据库安全审计系统再次通讯成功后,则此探针会进入未注册探针列表。
展示系统审计到的SQL操作数据,URL信息,行为审计、SQL模板、因子监测等各类审计数据,供用户查询、深度分析的功能。主要包含以下功能模块:
单击左栏菜单中[审计中心/语句查询],进入审计数据语句查看分析界面。
语句查询中分实时查询和历史查询。实时查询是对当天系统内审计数据进行查询分析,历史查询为对当天之前的审计数据进行查询分析。
输入查询条件即可对历史数据和实时数据进行详细的查询,可以用手动输入子网掩码的方式进行IP地址组查询。设备可自动将敏感信息进行掩码,用“*”替换其内容。如下图所示:
图3-2 语句查询
对当天系统中任意一小时内的审计数据进行查询分析。如下图所示:
图3-3 实时查询
基于性能问题,实时查询仅支持轻量级查询。该模块为实时数据,如果数据量太大,未做数据索引优化的情况下,会导致查询超时等错误,因此需限制查询范围,只能查询一个小时范围内的数据
当鼠标停留在操作历史和时间范围右侧的“?”号时,系统将会出现如下提示:
图3-4 提示语
点击<查询>按钮旁的
按钮,可自定义设置查询条件,在弹出的查询设置窗口中,勾选需要的查询条件选项,再点击确定,即可保存查询条件,回到查询界面。自定义查询设置根据当前登录的用户自动保存,再次打开语句查询页面自动加载保存的查询条件。如下图所示查询设置窗口:
图3-5 自定义查询设置
在查询结果中右击某条记录,可以进行查看语句详细、查看SQL模板、URL关联、过滤类似语句、查看类似语句、设置SQL模板名、丢弃此类语句等操作,界面如下图所示:
图3-6 查询结果处理
· 查看语句详细
在查询结果列表中选择某条记录,右击选择
按钮,可以查看该记录的详细信息,如下图所示:
图3-7 详细信息
· 查看SQL模板
点击<查看SQL模板>后,页面会跳转到SQL模板页面,显示对应的SQL模板。
· URL关联
在查询结果列表中选择某条记录,右击选择
按钮,打开的[URL审计]界面展示与之关联的URL审计信息。
· 过滤类似语句
在查询结果中过滤掉与该语句类似的语句。此类语句将不会在本次查询结果中出现。
· 查看类似语句
点击后查询结果中只会剩下与该语句类似的语句,在某条记录上右击,并选择查看类似语句,如下图所示:
图3-8 查看类似语句
系统将在查询结果中筛选,并只展示与该语句结构相似的记录,如下图所示:
图3-9 查询结果
· 设置SQL模板名
右击某条语句并点击<设置SQL模板名>,将会为该类语句设置SQL模板名,未来可用于检索等其它功能的扩展。
图3-10 设置SQL模板名
· 丢弃此类语句
点击<丢弃此类语句>将会生成规则,在之后的审计数据中发现结构相同的语句,则自动丢弃该类语句。
四种操作中,只有“丢弃此类语句”将会形成规则,对未来的数据产生影响。其它的3种操作仅仅对本次查询结果生效。
选中一条或多条记录后点击<导出选中>,进行导出设置后,在弹出密码设置框中,选择是否加密即可将查询结果导出。
点击<导出全部>,进行导出设置后,在弹出密码设置框中,选择是否加密,即可将所有查询结果导出。可通过勾选“导出项设置”的选项,选择要导出的信息,最多600条记录。导出文件格式包括,XML格式、CSV格式、PDF格式、HTML格式、EXCEL格式,默认为CSV格式。如下图所示:
图3-11 实时查询记录导出设置
图3-12 下载加密选择
图3-13 未设置压缩密码
图3-14 已设置压缩密码
点击
,系统提供自由选择语句字段展示内容选项。默认包含且不可取消字段有:语句流水、时间、源IP、目标IP、语句摘要、业务系统、协议类型。可选字段有:源端口、目标端口、SQL模板编号、规则名称、事件ID、执行时长、执行结果、影响行数、错误代码、风险级别、操作方式、操作表名、数据库名、数据库实例名、数据库用户名、计算机名、应用程序名、明细流水号、数据来源、中间件服务名称。系统安全员可通过需要勾选所需展示的字段信息,快速、明了地捕捉想要查询的某字段信息。
图3-15 自定义字段展示
默认提供最近有语句数据的、七天范围内的查询分析,若选择的查询时间范围内的数据量较大,系统会进行提示,需缩小时间范围后,再重新查询。查询的时间范围不能超过31天。查询结果展示可分为查询结果列表、查询结果分析两种视图,界面如下图所示:
图3-16 历史查询
点击<查询>按钮旁的
按钮,可自定义设置查询条件,在弹出的查询设置窗口中,勾选需要的查询条件选项,再点击确定,即可保存查询条件,回到查询界面。自定义查询设置根据当前登录的用户自动保存,再次打开语句查询页面自动加载保存的查询条件。如下图所示查询设置窗口:
图3-17 自定义查询设置
· 排序方法
可以设置查询结果是按时间升序或降序展示。
· 查询方式
表示对操作内容的多关键词进行查询。
¡ 普通查询,在整个SQL会话中匹配出所有SQL关键词,只要关键词全部出现即可被检索,无论前后顺序或中间是否夹杂字符。
¡ 模糊查询,在整个SQL会话中匹配出所有SQL关键词个数的一半以上,即可被检索,关键词的先后顺序不影响结果。
¡ 明细查询,在单条SQL语句中匹配出所有SQL关键词,即可被检索,关键词的先后顺序不影响结果。
¡ 词组查询,在单条SQL语句中匹配出整个SQL关键词组,严格按照关键词的先后顺序,中间不带其它关键词。
¡ 流水号查询,根据语句明细流水号或会话流水号进行查询。当流水号作为查询条件时,其它查询条件无效。
例如,输入查询关键字“select user”,普通查询:查询结果中只需包含“select”和“user”即可,无论前后顺序或中间是否有夹杂字符;模糊查询:查询结果中只需包含“select”或“user”即可,可仅出现关键词的任意一个;明细查询:查询结果中,会话的单条SQL语句中包含“select”和“user”即可;词组查询:查询结果中必须包含“select user”,单词中间仅能出现空格,不能有其它字符。
· 最大单条语句耗时:单条会话中语句的最大耗时时长。
· 长耗时平均语句耗时:单条会话中长耗时平均语句耗时时长。
· 长耗时语句总耗时:单条会话中长耗时语句总耗时时长。
· 会话语句种类数:单条会话中SQL语句模板种类数量。
· 会话重复程度:单条会话中语句总数除以语句类型数得到重复程度。
· 会话语句数量:单条会话中SQL语句总数量。
· 会话开始时段:查询选中时段内的语句。
点击
,系统提供自由选择语句字段展示内容选项。自定义字段展示设置根据当前登录的用户自动保存,再次打开语句查询页面自动加载保存的字段。默认包含且不可取消字段有:会话流水、时间、源IP、目标IP、会话摘要、业务系统、协议类型。可选字段有:源端口、目标端口、会话标签、语句数量、SQL模版种类数、单语句最大耗时、长耗时语句数量、长耗时语句平均耗时、会话重复率、数据库名、数据库实例名、数据库用户名、计算机名、应用程序名、数据来源、中间件服务名称。系统安全员可通过自行勾选所需展示的字段信息,快速、明了地捕捉想要查询的某字段信息。
图3-18 自定义字段展示
· 查看会话详细
查询结果列表中选择某条记录,右击选择
按钮,可以查看记录的详细信息,如下图所示:
图3-19 查看会话详细
在会话中可能有很多条数据,用户可以点击
按钮查看前100条语句。
勾选某条语句,右击选择
按钮可以查看该语句的详细内容,包含对oracle、SQL
server、mySQL、pgSQL影响行数解析与返回时长的计算。系统将记录某一数据库请求而影响的行数,和每个请求使用的时长,时长精确到秒级别。如下图所示:
图3-20 语句详细信息
· 导出记录
在历史会话查询结果中,选择一条或多条记录后点击<导出选中>按钮,可通过勾选“导出项设置”的选项选择要导出的字段信息后可将查询结果导出。点击<导出全部>可将所有查询结果导出,最多可导出600条记录。导出文件格式包含XML格式、CSV格式、PDF格式、HTML格式、EXCEL格式,默认为CSV格式。如下图所示:
图3-21 历史查询记录导出设置
图3-22 下载加密选择
图3-23 未设置压缩密码
图3-24 已设置压缩密码
· 会话回放
查询结果列表中选择某条记录,右击选择
按钮,可以查看记录的会话过程,将原有的会话文本记录展示方式,增加以shell执行动画的展示方式,如下图所示:
图3-25 会话回放
点击
,可根据上述条件查询的结果进行二次分析,返回前N条信息升序或降序展示,如下图所示:
图3-26 查询结果分析
· 分类统计
查询结果分析中点击<分类统计>按钮,可以查看不同条件类型统计的详细信息,如下图所示:
图3-27 分类统计
· 日期统计
查询结果分析中点击<日期统计>按钮,可以查看按时间类型统计的详细信息,如下图所示:
图3-28 日期统计
· 性能统计
查询结果分析中点击<性能统计>按钮,可以查看分类统计的详细信息,如下图所示:
图3-29 性能统计
在左栏菜单中点击[审计中心/URL审计],即可在右栏功能区打开URL审计查询界面。输入时间范围、源IP、URL地址、URL状态、请求方式、中间件地址、响应码、用户代理、referer参数、版本号、请求数据、响应数据、请求参数、明细流水号等查询条件后点击<查询>按钮即可,如下图所示:
图3-30 URL审计
点击“查询”按钮旁的
按钮可设置更多查询条件,再点击一次可以回到简单查询界面。如下图所示红色框的内容是增加的高级查询条件:
图3-31 高级查询条件
选择某条记录后,右击选择
按钮,在弹出[详细信息]框中可以查看审计结果明细,对web审计中request请求与response响应数据的保存,如下图所示:
图3-32 详细信息
· SQL关联
选择某记录后,右击选择
按钮,打开的“语句查询”界面展示与之关联的SQL语句。如下图所示:
图3-33 SQL关联
这里仅介绍URL审计的查询展示界面,配置请查阅[策略中心/监听配置/中间件服务器配置/WEB协议服务器配置]中设置。如下图所示
图3-34 WEB协议服务器配置
可以通过该功能,对TELNET、FTP、VNC、RDP、SSH等远程登录会话行为进行审计,同时可以对会话进行回放。点击左栏菜单[审计中心/行为审计]即可进入行为审计界面,如下图所示:
图3-35 行为审计
图3-36 Telnet审计
右击某记录任意字段,系统会出现观看会话播放提示,点击可回放该会话,如下图所示:
图3-37 观看会话播放
点击后自动播放会话内容,可点击窗口下方的按钮对播放进行控制,如下图所示:
图3-38 Telnet会话播放
在行为审计界面中点击<FTP审计>标签,进入FTP审计界面,然后设置查询条件对审计结果进行查询。
图3-39 FTP审计
右击某记录任意字段,系统提示观看会话播放,点击可对该会话进行回放。
图3-40 观看会话播放
点击后自动播放会话内容,可点击窗口下方的按钮对播放进行控制,如下图所示:
图3-41 FTP会话播放
若没有数据可播放,系统会在播放窗口中提示。
图3-42 VNC审计
可以根据时间范围,操作源IP,目标IP,协议类型等关键信息对VNC审计数据进行查询。
因VNC为加密通讯,目前不支持对VNC会话的回放功能。
系统对RDP协议(远程桌面协议)进行审计,并提供了查询界面,协助管理员进行分析工作。查询界面如下图所示:
图3-43 RDP审计
可以根据时间范围,操作源IP,目标IP,会话ID等关键信息对SSH审计数据进行查询。查询界面如下图所示:
图3-44 SSH审计
对系统审计到的SQL语句进行分析,将句式相同、参数不同的数据库语句视为相同的语句类型,得到SQL模板。SQL模板中使用通配符“?”问号代表具体的语句参数。
SQL模板主要用于协助管理员对审计数据进行处理,将大量的、常见的语句设置为安全规则或过滤规则,大大增加了规则的准确度,优化系统识别事件规则库。
点击[审计中心/SQL模板],进入如下图所示界面:
图3-45 SQL模板
界面中的列表默认显示发现的所有SQL模板,并默认根据该模板触发的总告警数进行降序排序——最多触发的显示在最上面。在列表上方检索栏中,用户可以根据规则名、排序字段、语句状态、关键字、排序方式、模板编号、数据来源等条件进行检索。在列表右上方,显示数据更新时间,即当前页面可查询数据的截止时间。
下面介绍一些关于SQL模板的管理:
系统将模板分为以下几种数据分析:
· 规则名称:该模板触发的规则名,及对应的触发次数。
· 状态:分为安全、丢弃、确认、未确认、统方。
· 总记录数:该模板在设备上线后发生的所有记录总数。
· 总告警数:该模板在设备上线后发生的所有告警总数。
· 上次告警记录数:该模板在上个工作日发生时触发的告警记录数。
· 创建时间:该模板创建的时间。
· 上次出现时间:该模板上次发生时的时间记录。
· 最后出现时间:该模板最后一次发生时的时间记录。
· 别名:可对该SQL模板设置别名,方便记录查找。
系统将模板状态主要分为以下几种:
· 设置为安全:表示此类语句以后被定义为安全的,将不会被触发规则报警。
· 确认、改为未确认:是SQL模板的一种状态标签,表示管理员是否已经看过、知道了该类语句。
· 设置为统方:是SQL模板的一种状态标签,表示此类语句以后可被触发为统方事件。
· 修改别名:为了便于管理、沟通,管理员可以为SQL模板设置别名。
· 丢弃此类语句:表示此类语句以后将被直接过滤,不被保存。
· 具体查询语句:查询与SQL模板相关联的具体语句。
将鼠标放在列表中某SQL模板上,右击鼠标可修改该类模板的状态,如下图所示:
图3-46 状态设置
右击并选择某个状态,在弹出[确定]的对话框中选择<确定>即可。
选中语句,右击选择<查询具体语句>,可跳转到具体语句查询界面。
图3-47 查询具体语句
点击界面上的<设置状态>按钮,可以批量设置SQL模板的状态。如下图所示:
图3-48 设置状态
如上图所示,用户可以将列表中所有语句或选中的语句设置为安全、丢弃、统方、确认、未确认状态。
对系统审计到的对象进行分析,实时展示突然出现的对象,监控内容包括:IP地址、应用程序名、计算机名、存储过程、数据库用户名、数据库名和数据库服务器。每一个被监测的因子,都会记录首次出现时间、上次更新时间、最新更新时间。
点击[审计中心/因子监测],进入如下图所示界面:
图3-49 因子监测
在没有配监听配置的情况下,审计引擎通过镜像流量识别的方式发现被审计的数据库对象,发现的数据库对象在因子监测中展示为数据库服务器。
下面介绍一些关于因子监测的管理:
界面中的列表默认显示每类对象20条最近更新数据,根据时间降序排列。
可根据首次出现时间范围、上次出现时间范围、最新出现时间范围、因子名等条件进行查询。界面中的列表提供各类别对象因子的出现和更新等数据信息。根据最新出现时间降序排列。
IP地址、数据库服务器页面,IP地址可支持地址网段。
可定期获知数据库服务器是否存在非数据库的访问通讯,以协助判断潜在风险。通过镜像流量可发现数据库服务器访问外部主机上开放的服务端口和数据库服务器上开放的端口;支持按时间范围、目标IP/源IP、目标端口、协议(TCP&UDP)为条件,查询非数据库通讯的结果;查询结果以表格形式展示,列出条件范围内的所有服务端口,端口以升序方式排列。支持实时查询当前通讯情况。
点击[审计中心/网络审计],进入如下图所示界面:
图3-50 网络审计
点击端口可展开详细信息,如下图所示:
图3-51 详细信息
通过对比不同时期(按月、按周、按天)的审计数据,分析审计数据量、源IP、帐号数、客户端工具数等的差异情况,协助用户对业务系统的运维。
点击[审计中心/对比分析],右栏的操作功能区打开对比分析界面。根据数据来源:业务系统、数据库IP,以及时间范围,进行对比分析。可选择对比类型:单一数据库IP不同时段、单一业务系统不同时段、不同数据库IP相同时段、不同业务系统相同时段。结果显示如下图所示:
图3-52 对比分析
对比分析结果以列表和图表的形式展示。比较项包括:源IP,帐号数,客户端工具数,客户端主机数,表对象数,操作类型数,明细语句数,会话数,告警数,SQL模板数。
选择基础对象和比较对象,以基础对象为标准,对比结果显示为比较对象与基础对象的差值,差值为零,则显示无变化;差值为正数,则对比结果数据显示蓝色字体;差值为负数,则对比结果数据显示红色字体。
图3-53 对比分析结果
(1) 源IP对比
按小时统计每日零点开始的源IP数,鼠标停留时显示该小时基础对象和比较对象的源IP数。
图3-54 源IP对比
(2) 账号数对比
按小时统计每日零点开始的账号数,鼠标停留时显示该小时基础对象和比较对象的账号数。
图3-55 账号数对比
(3) 客户端工具数对比
按小时统计每日零点开始的客户端工具数,鼠标停留时显示该小时基础对象和比较对象的客户端工具数。
图3-56 客户端工具数对比
(4) 客户端主机数对比
按小时统计每日零点开始的客户端主机数,鼠标停留时显示该小时基础对象和比较对象的客户端主机数。
图3-57 客户端主机数对比
(5) 表对象数对比
按小时统计每日零点开始的表对象数,鼠标停留时显示该小时基础对象和比较对象的表对象数。
图3-58 表对象数对比
(6) 操作类型数对比
按小时统计每日零点开始的操作类型数,鼠标停留时显示该小时基础对象和比较对象的操作类型数。
图3-59 操作类型数对比
(7) 明细语句数对比
按小时统计每日零点开始的明细语句数,鼠标停留时显示该小时基础对象和比较对象的明细语句数。
图3-60 明细语句数对比
(8) 会话数对比
按小时统计每日零点开始的会话数,鼠标停留时显示该小时基础对象和比较对象的会话数。
图3-61 会话数对比
(9) 告警数对比
按小时统计每日零点开始的告警数,鼠标停留时显示该小时基础对象和比较对象的告警数。
图3-62 告警数对比
(10) SQL模板数对比
按小时统计每日零点开始的SQL模板数,鼠标停留时显示该小时基础对象和比较对象的SQL模板数。
图3-63 SQL模板数对比
用户关心的与业务紧密关联的各种数据统计报表。用户可以通过报表任务管理设置各种类型的报表。另外,事件报表是对系统审计到的高中低风险事件,并鉴定为风险事件。
报表中心包括四个模块:报表任务、事件报表、统方报告、报表查看。用户可以在报表任务中指定各种报表计划,然后在事件报表中查看已生成各种的报表。
图4-1 报表中心
报表任务,是生成报表的依据,包含两种类型:自定义,系统默认。自定义报表任务,是系统根据用户制定的任务生成符合条件的报表;系统默认提供了七个报表任务,生成的报表也可以在[监控中心/流量钻取]中查看。
报表任务界面主要操作有:查看报表、新建报表、修改报表、删除报表、导入报表配置、导出选中报表配置、导出全部配置等功能。
左栏菜单中点击[报表中心/报表任务]即可在功能区中管理报表任务,如下图所示:
图4-2 报表任务
报表任务总数上限100条,超过上限的备份文件将无法直接导入。配置管理中恢复配置时也只能恢复前100条报表任务。若升级前已超过100条上限,将无法添加、修改、导入报表配置、导出报表配置。
报表任务创建后,目前系统默认会在00:00——07:00期间生成报表,生成的报表将会保存365天,365天后将被删除。所以,需要保留的报表请在此期间将报表导出。
在报表任务界面中,查询报表任务后,可以直接查看该报表任务的执行结果,即已生成的报表。
在检索条件中输入报表类型、关键词、时间范围等查询条件,点击报表查询按钮,符合条件的报表将以列表形式展示,如下图所示:
选择某报表任务,然后点击
按钮,在弹出[选择周期性报表时间段]窗口中选择时间范围,如下图所示:
图4-4 选择任意报表查看
在这里可以选择按照任务生成的所有未归档的报表任务,即使报表中符合条件没有数据。报表有数据的时间范围会展示为淡蓝色背景,白色背景为无数据的报表。
点击<确定>后,报表将弹出新的页面展示报表,用户可以将报表内容打印或导出。如下图所示:
图4-5 数据库用户名统计
报表任务的状态主要有三种:已完成、预备中和执行中,表示报表任务的完成状态。如下图所示:
图4-6 报表状态
表示该任务至少已经完成了一次(一次性报表)或一个周期(周期性报表),可以查阅。
报表任务已经建立,由于还没有到执行时间,第一次报表任务还未完成。
报表任务正在执行中(出现时间非常短暂,偶在一次性报表生成过程中可见)。
目前系统默认会在00:00——07:00期间生成报表。
新建报表任务,让系统定期生成报表。目前系统支持的常规报表模板内容主要有:流量统计、特权跟踪类。每类报表又可以分为:一次性(只生成一次,不重复)、周期性(将会重复、周期性的生成)。
可实现对告警的统计报表,根据时长、累计次数、累计条件(对象)进行周期性统计。
点击[报表任务/新增报表],将弹出[新增报表]窗口,支持的报表任务有以下几种,如下图所示:
图4-7 增加报表
需要配置的参数主要有这几个方面:常规参数、展示方式、报表对象。下面将详细各项参数:
图4-8 增加报表
(1) 报表类型
需要生成的报表类型,通过下拉列表选择。如下图所示:
图4-9 报表类型
(2) 常规参数设置
设置报表任务的备注信息,以及是否发送到邮件。周期性报表任务和一次性的参数不太一样,如下图所示:
· 一次性报表任务_常规参数设置
图4-10 常规参数
· 周期性报表任务_常规参数设置
图4-11 常规参数设置
(3) 展示方式设置
报表展示方式配置,例如是按时间走势或排名方式展示等信息。周期性报表任务和一次性的参数不太一样,如下图所示:
· 一次性报表任务_展示方式设置
图4-12 图 展示方式
· 周期性报表任务_展示方式设置
图4-13 展示方式设置
(4) 报表对象设置
设置生成报表的数据来源,一次性报表任务和周期性报表任务的该项设置内容都一样,如下图所示:
图4-14 数据来源
如图中新建的报表内容是:对每周SQL语句中“应用程序名=charge,且源IP=11.9.1.82,执行时长>5s”的语句进行统计,统计结果按照升序排序的方式展示前10个符合条件的结果。
· 添加对象
在左边的下拉列表中选择需要展示的字段,在右侧下拉列表中选择需要统计的字段内容。选好后点击
按钮将对象添加到上面的文本框中。也可以在文本框中选择某对象点击
按钮删除该对象。如下图所示:
图4-15 对象选择
允许将流量周期统计报表发送到[监控中心/流量钻取]中展示,但要求“报表对象”列表中的统计对象只能为同类型对象,且最多只能添加两个对象。如下图所示报表配置无法进行流量展示:
图4-16 对象列表
报表对象列表若同时存在同一数据的“=”和“not”对象(例如,同时存在 “源IP = 10.4.8.222”和 “源IP not 10.4.8.222”),则报表不会统计该数据(10.4.8.222),即“not”对象的优先级更高。
报表对象不允许配置“(对象类型) not 全部”格式的对象。
设置与新建流量周期性统计报表相似,最大的区别在于,要设置生成报表的时间范围。如下图所示:
图4-17 新增报表
对某些特权操作进行跟踪按照设置的范围进行周期性统计。如下图所示:将对每天中包含create table、create role、create index三种操作方式的SQL语句分别进行统计。
图4-18 新增报表
图4-19 新增报表
定时发送报表,年报为每年1月1号发送,月报每月1号发送,周报每周1发送,日报第二日发送。发送时间都为上午8时左右,因实际使用的系统繁忙程度不一致,可能会有几分钟时间的误差
选择某报表任务,点击<修改报表>按钮,可以修改报表任务的内容。报表任务正在执行的时候,点击<修改报表>只能查看内容。如下图所示:
图4-20 修改报表
选择一个或多个某报表任务,点击<删除报表>按钮,将删除彻底该报表任务,不再执行该任务。
图4-21 删除
系统提供的报表配置的导入导出,只需要将报表任务配置导出,若报表任务被删除了,管理员不需要重新新建任务,只需重新导入该任务的报表配置文件即可。简化了报表任务的管理工作。
勾选某个报表任务,点击
按钮,在弹出的提示框中将.zip文件保存或打开。如下图所示:
图4-22 导出报表配置
点击<确定>按钮上方的浏览可以将文件保存到指定目录。
点击
按钮,在弹出的提示框中将.zip文件保存或打开。如下图所示:
图4-23 导出报表配置
点击
按钮后,在弹出[导入报表配置]窗口中点击方框内任意位置打开文件选择框,选择之前导出的报表配置文件,或将之前导出的报表配置文件拖到方框内,点击<上传>即可。如下图所示:
图4-24 导入报表配置
图4-25 上传报表配置
事件报表主要是对“年报表”和“月报表”两个模块。通过不同的色块能对一目了然的查看当前月份和本年所有月的事件报表生成情况。同时支持对报表进行编辑。
点击左栏的菜单的[报表中心/事件报表]进入界面,如下图所示:
图4-26 事件报表
进入事件报表后,可以看到界面上方的报表配置如下图所示:
图4-27 报表配置
勾选“是否自动生成报表”,系统就会根据现有过滤规则,在系统配置的报表生成时间自动生成报表。
勾选“是否自动发送报表”,系统将生成的报表自动发送到用户指定的邮箱。
点击<管理过滤规则>按钮,弹出[管理过滤规则]页面,如下图所示:
图4-28 管理过滤规则
该界面主要提供的给已添加的过滤规则,提供删除的功能。用户如果发现这些(源IP、目标IP、SQL模板、操作方式、操作表名、规则名称、应用程序名)对象的具体内容存在不安全因素,可以勾选具体项将其删除。
报表管理包含“日报表的管理”和“月报表的管理”。
绿色表示已生成报表,灰色未生成报表,黄色表示正在生成中的报表。如下图所示:
图4-29 报表生成状态
只有已“生成的报表”才具有查看和编辑功能。“未生成的报表”和“正在处理的报表”无此功能。
点击时间那一栏的对应的箭头,对应的是分别是“上一年”、“上一月”或“下一年”、“下一月”。
图4-30 查询
在展示列表中直接显示了某天,或者某月的事件记录条数,并且可以对他们进行编辑、查看详细等操作。如下图所示:
图4-31 功能
点击
按钮以图表的形式展示了各个过滤字段的统计情况,在列表中可以通过勾选修改过滤规则,如下图所示:
图4-32 编辑
点击在已生成的报表上悬浮的
按钮,可以查看报表详情。主要包含三部分:柱状统计图,事件展示列表、报表小结。
(1) 柱状统计图
柱状统计图展示了被审计到的记录中关键信息的前十名统计情况。系统统计内容主要有:源IP高危记录前十统计、目标IP高危记录前十统计、SQL模板高危记录前十统计、操作方式高危记录前十统计、操作表名高危记录前十统计、规则名称高危记录前十统计、应用程序名高危记录前十统计。
如下图所示是源IP高危记录前十统计:
图4-33 统计
(2) 事件展示列表
图4-34 事件展示列表
(3) 报表小结
系统管理员在查阅了统方事件报表后可以对报表做概括性的总结,具体内容如下图所示:
图4-35 报表小结
(4) 报表打印和导出
此外,系统还支持高危记录报表打印和导出为WORD、WPS、HTML、PDF文件。如下图所示:
图4-36 导出
图4-37 打印
统方报告界面可以通过创建日期检索和查看已生成的报告。点击左栏菜单中[报表中心/统方报告]进入界面。如下图所示:
图4-38 统方报告
· 报告查询
在界面中选择统方报告的创建日期,点击“查询”按钮进行查询。查询结果以列表的形式展示,并展示了该日期创建的统方报告的创建日期、编制人、编制单位、报告概述等信息。
· 查看报告
在查询结果列表中点击
图标,将会在新页面中展示该事件报告。如下图所示:
图4-39 统方事件风险分析
关于报告的内容与介绍在统方事件中“生成报告”中已做详细说明,此处不再赘述。
· 查看统方事件
在查询界面中点击
图标,将会跳转到统方事件查询页面。
报表查看,以日历为主线向用户展示系统报表,简单、易用。有数据日期显黄色,无数据日期显灰色,方便使用查询。点击[报表中心/报表查看]进入页面,如下图所示:
图4-40 报表查看
页面是左右结构,左栏是菜单栏,右栏是报表展示区。左栏的上半部分是个日历表,下半部分是报表列表,根据生成周期分为:日报、周报、月报、年报、一次性报表。右栏报表展示区用于展示被选择的报表,并用图表和列表两种形式进行展示。所有报告和报表增加封面,提供报表缩略图功能(一次性报表更改配置后需清空缓存显示最新的缩略图),点击即可跳转到详细报表页面。
图4-41 详细报表
每周更新提供审计设备自身健康状态分析报告、特权账号与异常时段分析报告、业务流量分析报告,有助于管理员了解设备运行情况、数据库业务安全状况。
(1) 审计设备自身健康状态分析报告
本分析报告提供对审计设备在一周范围内,设备发生异常状态的情况记录,并对异常情况进行分析形成报告,为反映审计设备自身的运行状况提供依据。如下图所示:
图4-42 审计设备自身健康状态分析报告
(2) 特权账号与异常时段分析报告
本分析报告提供对数据库在一周范围内,帐号在非业务处理时段的操作与特权帐号操作的监控记录,并对监控记录进行分析、得出结论,形成特权帐号与异常时段分析报告,以供反映数据库的业务安全状况,提供依据。如下图所示:
图4-43 特权账号与异常时段分析报告
(3) 业务流量分析报告
本分析报告提供在一周范围内,对数据库产生的语句流量、数据库账号使用情况、语句响应时长等进行分析,并形成报告,以供反映数据库业务安全状况。如下图所示:
图4-44 业务流量分析报告
(1) 审计数据概况分析报表
本报表每日、每周、每月针对在线用户数、并发会话数、明细记录数进行统计分析,便于管理员掌握此时段内系统的数据情况,如下图所示:
图4-45 审计数据概况分析报表
(2) 事件分析报表
本报表针对每日、每周、每月生成的告警事件统计分析,罗列出系统中发生高可疑、中可疑、低可疑风险事件的明细信息,对此时段内发生的事件一目了然,如下图所示:
图4-46 事件分析报表
(3) 数据库服务器分析日报表
本报表以业务系统划分,针对业务系统服务器相关的一些统计分析,以供反映数据库服务器业务安全状况。如下图所示:
图4-47 数据库服务器分析日报表
(4) 非业务程序访问报表
本报表以业务系统划分,统计业务系统的非业务程序访问情况,便于管理员了解业务系统安全。如下图所示:
图4-48 非业务程序访问报表
(5) 敏感行为分析报表
本报表以业务系统划分,是针对业务系统发生的各类敏感行为的统计分析,便于管理员从敏感行为角度分析业务系统的安全性。如下图所示:
图4-49 敏感行为分析报表
(6) 账户登录分析报表
本报表以业务系统划分,分析账户登录情况,快速了解是否可能存在账户破解或敏感时段登录的情况。如下图所示:
图4-50 账户登录分析报表
报表的查阅主要是以数据产生的日期为条件,即当选择某个日期后,左栏下半部分显示的是包含该天数据的所有报表,并根据生成周期进行分类展示。
(1) 选择要查看报表的日期
进入系统后,默认选择的是当天。日历中点击某天,便会在左栏下半部分展示与该天相关的所有报表,这些报表根据生成周期进行分类展示。
图4-51 分类
(2) 选择需要查报表的类别
在报表类别中点击某类报表,便会出现符合条件的报表。如下图所示是查看3月10日“日报”中看到的有关报表:
图4-52 日报
在列表中点击某张报表即可在右栏中查看该报表的详细内容,如下图所示是点击上图中“应用程序名统计”报表后看到的内容:
图4-53 选择报表
点击报表右上角的<打印>按钮在弹出对话框中选择打印机后打印即可。
图4-54 打印
系统支持将报表导出成WORD、WPS、HTML、PDF格式的文件,点击报表右上角的<导出>按钮,在弹出的提示框中选择<保存>或点击<保存>右侧的下拉列表可将文件另存到指定目录中。
图4-55 导出报表
策略中心,主要是配置审计内容,定义事件规则,还对系统中涉及的各种对象进行管理。是系统识别各类风险事件的第一步。
主要包含以下这些模块:监听配置、事件定义、对象管理、客户端信息、敏感信息、事件响应、三层关联、入侵检测规则、交换机信息等。左栏菜单如下图所示:
监听配置模块主要功能是设置系统监听的范围,主要包括业务系统配置、中间件服务器配置、应用审计配置、指定IP审计。点击[策略中心/监听配置]进入界面,如下图所示:
点击界面中的监听配置页面中的标签业务系统配置进入配置页面。系统可将多个数据库捆绑定义为一个业务系统,方便数据的统一展示,管理员在此设置需要监听的业务系统数据库和相关的行为。目前系统支持Oracle、Sybase、DB2、Mysql、SQL server、Informix等主流数据库,达梦、人大金仓、南大通用、神通等国产数据库,Postgresql、Cache、Teradata、Mongo、Redis、Hive、Vertica、Seasql、Greenplum等专用数据库,以及Telnet、Ftp、Vnc、Rdp、Ssh等其它应用的审计。如下图所示:
图5-3 业务系统配置
界面中展示了已添加需要监听的业务系统数据库类型、字符集编码、IP地址、端口号以及最后修改时间,此外还可以添加、删除、修改、启用或停用监听的业务系统。
点击<添加>按钮弹出[添加业务系统]对话框,如下图所示:
图5-4 添加业务系统配置
管理员只需填写业务系统的名称,勾选状态、编码策略、数据库类型,并配置服务器IP和监听端口号,点击<确定>即可。
当编码策略设置为自动识别时,系统自动识别编码类型,后可手动修改。
在列表中选择某业务系统后点击<修改>按钮便可以编辑、修改配置信息,如下图所示:
图5-5 编辑业务系统配置
点击选择某业务系统后,点击界面中的删除按钮,在弹出[确定]对话框中点击<确定>即可删除该配置信息。如下图所示:
图5-6 删除业务系统配置
点击选择业务系统后,点击界面中的启用按钮,在弹出[确认]对话框中点击<确定>即可启用该配置信息,若选中的业务系统中包含已启用的配置,则系统会给出相应提示。如下图所示:
图5-7 启用业务系统配置
图5-8 已启用的业务系统再次点击启用
点击选择业务系统后,点击界面中的停用按钮,在弹出[确认]对话框中点击<确定>即可停用该配置信息,若选中的业务系统中包含已停用的配置,则系统会给出相应提示。如下图所示:
图5-9 停用业务系统配置
图5-10 已停用的业务系统再次点击停用
即使业务系统列表中配置了业务系统配置,当业务系统的状态为停用时,系统停止审计该业务系统,即不产生该业务系统的日志。
当监听的业务系统数据库类型为Oracle、SQL server、MYSQL时,审计系统的统方事件和事件查看支持通过直连数据库的方式进行返回值查看,获取精确的返回值信息。
返回值直连方式查询仅事件中提供,当用户为获取精确返回值,方便判断事件性质时使用此功能,同时,从安全设备角度考虑,该查询方式限制只能查询触发事件的select语句。
点击选择业务系统后,点击界面中的修改按钮,在弹出[修改业务系统配置]对话框中点击<返回值配置>即可进行返回值配置。
图5-11 业务系统配置
在[返回值数据库配置]中,填写相关的数据库参数,填写完后,注意只有在勾选“设置密码”后,密码框会清空原有密码,变为可输入状态。未勾选时,密码框为灰色不可输入状态。
可点击<连接测试>,验证数据库的连通性。验证通过后,点击<保存>即可保存返回值配置。
图5-12 业务系统配置
同一个业务系统配置最多只能配置三组返回值,如果超出限制,点击添加按钮,系统提示错误。如下图所示:
图5-13 返回值配置数量限制
勾选需要备份的配置,点击<备份配置>按钮,在弹出的[备份配置]对话框中输入备注信息,点击<确定>按钮,如下图所示:
图5-14 业务系统备份配置
点击<备份配置文件管理>按钮,在弹出的[备份配置文件管理]对话框中可进行上传配置、删除配置、导入配置、下载配置等操作,如下图所示:
图5-15 备份配置文件管理
(1) 上传配置
如需上传原来下载过的备份配置文件,可在[备份配置文件管理]对话框中,点击<上传配置>按钮,从本地文件目录中选择需还原的备份配置文件,点击<确定>按钮,如下图所示:
图5-16 上传配置
(2) 删除配置
在[备份配置文件管理]对话框中,勾选需删除的备份配置文件,点击<删除配置>按钮,如下图所示:
图5-17 删除配置
(3) 导入配置
在[备份配置文件管理框]对话框中,勾选需导入的备份配置文件,点击<导入配置>按钮,如下图所示:
图5-18 导入配置
(4) 下载配置
在[备份配置文件管理]对话框中,勾选需下载的备份配置文件,点击<下载配置>按钮,如下图所示:
图5-19 下载配置
设置需要监听的协议服务器类型,主要配置内容包括IP地址、端口、状态、COOKIE配置、过滤规则配置。点击监听配置页面中的[中间件服务器配置]标签,打开的界面如下图所示:
图5-20 中间件服务器配置
界面中展示了已添加的需要监听的WEB协议服务器IP地址、端口号、COOKIE配置、过滤规则配置-文件类型、过滤规则配置-过滤URL,此外还可以添加、删除、修改服务器配置。
点击WEB协议服务器配置标签的<添加>按钮弹出[添加WEB协议服务器配置]对话框,如下图所示:
图5-21 添加应用服务器配置
首先要配置被审计的WEB服务器的IP和监听端口号等基本信息,选择状态,然后配置需要审计的COOKIE、配置审计的过滤规则。
· COOKIE配置
配置COOKIE中所使用的会话ID的参数名(比如WEBLOGIC中一般使用“JSESSIONID”),如上图。
配置之后查看url审计的详细信息时,SESSION ID将会展示COOKIE参数对应字段的值,如下图:
· 过滤规则配置
设置URL解析时,需要过滤掉的信息。满足响应模糊URL特征的流量将不会被审计到。可以是图片,FLASH动画等,配置界面如下图所示:
图5-22 配置界面
设置完毕,点击<确定>后配置即可生效。
在列表中选择某应用服务器后点击<修改>按钮便可以编辑、修改配置信息,如下图所示:
图5-23 修改应用服务器
点击选择某应用服务器后,点击界面中的删除按钮,在弹出对话框中点击<确定>即可删除该配置信息。如下图所示:
图5-24 删除
勾选需备份的配置,点击<备份配置>按钮,在弹出的[备份配置]对话框中,输入备注信息,点击<确定>按钮,如下图所示:
图5-25 备份配置
点击<备份配置文件管理>按钮,在弹出的[备份配置文件管理]对话框中,可进行上传配置、删除配置、导入配置、下载配置等操作,WEB协议服务器配置的备份配置文件管理与业务系统备份配置文件管理相同,此处不再赘述,如下图所示:
图5-26 备份配置文件管理
点击非WEB协议服务器配置标签的<添加>按钮弹出[添加非WEB协议服务器配置]对话框,如下图所示:
图5-27 添加
管理员只需填写非WEB协议服务的名称,选择状态、编码策略、服务类型,并配置服务器IP和监听端口号,点击<确定>即可。
在列表中选择某服务器后点击<修改>按钮便可以编辑、修改配置信息,如下图所示:
图5-28 编辑
点击选择某应用服务器后,点击界面中的删除按钮,在弹出对话框中点击<确定>即可删除该配置信息。如下图所示:
图5-29 删除
点击<备份配置>按钮,在弹出的[备份配置]对话框中,输入备注信息,点击<确定>按钮,如下图所示:
图5-30 备份配置
点击<备份配置文件管理>按钮,在弹出的[备份配置文件管理]对话框中,可进行上传配置、删除配置、导入配置、下载配置等操作。非WEB协议服务器配置的备份配置文件管理操作与业务系统配置的备份配置文件管理操作相同,此处不再赘述,如下图所示:
图5-31 备份配置文件管理
点击应用审计配置标签页的<添加>按钮,弹出[添加应用审计配置]对话框,如下图所示:
图5-32 添加FTP应用审计配置
管理员只需填入应用审计名称,选择协议类型为FTP,填写FTP服务器IP后点击<确定>即可。
在列表中选择某服务器后点击<修改>按钮便可以编辑、修改配置信息,如下图所示:
图5-33 修改
选择需要删除的服务器配置,点击<删除>按钮,在弹出对话框中点击<确定>即可删除该配置信息。如下图所示:
图5-34 删除
其它类型的运维协议审计的配置方法与配置FTP协议一致。
点击<备份配置>按钮,在弹出的[备份配置]对话框中,输入备注信息,点击<确定>按钮,如下图所示:
图5-35 备份配置
点击<备份配置文件管理>按钮,在弹出的[备份配置文件管理]对话框中,可进行上传配置、删除配置、导入配置、下载配置等操作,应用审计配置的备份文件管理操作与业务系统的备份配置文件管理操作相同,此处不再赘述,如下图所示:
图5-36 备份配置文件管理
点击监听配置页面中的指定IP审计标签,打开的界面如下图所示:
图5-37 指定IP审计
审计vlan tag的报文需勾选支持vlan数据后点击保存配置。
根据网络环境,在相应的网络环境中选择单个IP、网段,输入IP地址并保存,进行源地址bpf过滤,减少设备执行数据过滤时的性能消耗。
VXLAN协议需单独配置,例如,指定审计IP为192.168.5.1,该IP同时存在局域网与VXLAN云环境中,配置时,局域网配置中添加包含IP(192.168.5.1),在VXLAN云环境中也需添加包含IP(192.168.5.1),这样配置才能在全部流量中指定审计IP。
指定IP审计网段与网段直接不支持重复校验,且“不包含IP”的优先级大于“包含IP”。
该功能模块主要是定义各种规则,用于识别系统中关于数据库、应用服务器的风险事件。模块包含三个部分:数据库应用规则、数据库默认规则、应用服务器规则。点击[策略中心/事件定义],打开的界面如下图所示:
图5-38 事件定义
· 数据库应用规则:识别发生在数据库上风险行为的规则。
· 数据库默认规则:识别发生在数据库上风险行为的系统内置默认规则。
· 应用服务器规则:识别发生在应用服务器上风险行为的规则。
1、 数据库应用规则与数据库默认规则针对数据库中SQL语句进行匹配。
2、 应用服务器规则针对访问应用服务器的URL进行匹配。
点击[策略中心/事件定义],在功能区中点击[数据库应用规则]标签,进入数据库审计规则页面。在此对规则所触发的次数做统计,并能手工清零当前的计数值。如下图所示:
图5-39 数据库应用规则
点击<添加>按钮新建识别规则。主要设置项如下图所示:
图5-40 添加
(1) 常规设置
· 规则名称:只允许输入中文(中文符号除外)字母、数字、空格、英文符号(_、.)和中英文括号(()、( ) ),是必填项。
· 规则状态:规则的启用、停用。
· 风险级别:定义触发该规则的事件的风险程度,分别是:高可疑、中可疑、低可疑、安全。
· 规则动作:触发该规则的事件是被记录保存下来还是丢弃。
系统强制设置高、中、低可疑事件都需要被记录,不允许丢弃。被设置为丢弃的事件一定不是高、中、低可疑事件。
· 规则描述:对该规则的补充说明。
(2) 客户端触发条件设置
设置与触发规则相关的参数,详细内容如下图所示:
图5-41 客户端触发条件设置
多个参数间是“与”的关系,即同时满足才能触发规则。
每个参数可以设置多个值,并支持对多个值进行or、and、=、not等逻辑运算。点击文本框右侧的下三角可直接选择已有的对象,点击最右侧的+号可新建对象;
(3) 服务端触发条件设置:
设置服务器端触发规则的条件,主要参数如下图所示:
图5-42 服务端触发条件设置
当事件同时满足“客户端触发条件”和“服务端触发条件”的条件才会触发该规则。
勾选某条记录前的复选框,点击<修改>按钮修改规则,在弹出的[修改数据库应用规则]窗口中对规则各项参数调整。注意,默认规则不可修改。如下图所示:
图5-43 修改规则
勾选一条或多条记录前的复选框,单击<删除>按钮,在弹出[确认]的对话框中选择确定即可删除,若在此页面删除数据库默认规则,则视为停用该默认规则,并在数据库应用规则页面移除该规则。如下图所示:
图5-44 删除
如需一次性删除系统内所有数据库应用规则,可单击<清空规则>按钮,在弹出[确认]的对话框中选择确定即可删除。如下图所示:
图5-45 清空规则
事件的识别是按照规则列表中的排列顺序逐条匹配,即排在前面的规则优先生效。用户可以根据情况点击规则后的上下箭头按钮或选中拖动来重新排列规则,然后单击<保存规则排序>,在弹出[确认]的对话框中点击<确定>,排序生效。如下图所示:
图5-46 规则排序
如需上传原来下载过的备份规则,可点击<上传规则文件>按钮,选择需要上传规则文件即可。如下图所示:
图5-47 上传规则文件
上传的文件要求是.tgz文件,无需解压。
选择一条或多条规则后点击<备份规则>按钮进行备份,填入文件描述后,系统提示备份成功即可,如下图所示:
图5-48 备份规则
对所有的规则备份文件管理,可以对其进行删除、导入、下载操作。如下图所示:
图5-49 备份
当在规则列表中删除一条或多条规则后,如果实现有对其进行备份,只需要点“导入”即可将规则添加到自定义识别规则列表中。
点击<下载>按钮,即可导出规则文件,如下图所示:
图5-50 下载
点击<导入>按钮,即可导入规则文件,存在以下几种情况:
导入规则中不存在同名规则,但存在同名对象;
导入规则中不存在同名规则,也不存在同名对象;
点击导入之后提示:“导入前请备份好当前配置,避免无法恢复当前配置。同时,规则导入将附带导入规则包含的对象。是否继续导入?”,点击确定,系统导入规则。提示如下图所示:
图5-51 备份规则文件导入不存在同名规则
导入规则中存在x条同名规则,且存在同名对象;
导入规则中存在x条同名规则,但不存在同名对象;
点击导入后提示如上图所示,若点击确定,则系统提示“导入系统的规则包中,存在x条同名规则,是否覆盖系统中的同名规则(覆盖,以规则名称作为判断条件/不覆盖,导入其他不同名规则)?”。点击覆盖,系统将覆盖同名规则与同名对象。点击不覆盖,系统将导入其它不同名规则。提示如下图所示:
图5-52 备份规则文件导入存在同名规则
勾选一条记录前的复选框,单击<清空单条规则触发命中数>按钮,在弹出[确认]的对话框中选择<确定>即可清空。如下图所示:
图5-53 清空单条规则触发命中数
单击<清空所有规则触发命中数>按钮,在弹出[确认]的对话框中选择<确定>,即可清空所有规则的触发命中数。如下图所示:
图5-54 清空所有规则触发命中数
数据库审计系统自带数据库默认规则,用户可通过启用默认数据库规则,实现基本的数据库审计并发现数据库风险。数据库默认规则根据数据库类型划分为:通用规则、Oracle、SQLServer、MySql、DB2、DM六个类别,用户可根据需要,启用或停止数据库默认规则。默认规则不能修改与删除,只可启用或停用。注意,在出厂状态下所有的默认规则皆为停用状态。
图5-55 数据库默认规则
用户可勾选要启用的数据库默认规则,然后点击<规则启用>按钮后确定,即可启用列表中所选规则。
图5-56 规则启用
当启用数据库默认规则成功后,该默认规则的状态会变为启用,同时,默认规则会自动添加至数据库应用规则页面,默认规则的名称以绿色字体展示,自定义规则名称以蓝色字体展示。在数据库应用规则页面中,系统默认的规则优先级为:默认规则>自定义规则。每次新启用的默认规则按照默认规则ID从小到大排列在最前。用户可根据需求,手动调整默认规则与自定义规则的优先级。如下图所示:
图5-57 规则状态
图5-58 数据库应用规则页面显示已启用的默认规则
如需停用某条默认数据库规则,用户可勾选需停用的规则,然后点击<规则停用>按钮并确定,即可停用所选规则。
图5-59 规则停用
数据库默认规则停用成功后,该规则状态变为停用,并且在数据库应用规则页面移除该规则,如下图所示:
图5-60 规则停用状态
图5-61 数据库应用规则页面移除停用的默认规则
如需启用该规则类别的所有数据库默认规则,可点击<全部启用>按钮后确定,即可启用该类别下的所有规则,如下图所示:
图5-62 按类别全部启用
全部启用后的数据库默认规则状态与前文描述勾选启用后状态相同,此处不再重复描述。
如需停用该类别下的所有数据库默认规则,可点击<全部停用>按钮后确定,即可停用该类别下的所有规则,如下图所示:
图5-63 按类别全部停用
全部停用的数据库默认规则的状态与前文描述勾选停用状态相同,此处不再重复描述。
在左侧规则查询框中,输入需要查询的数据库默认规则名称,下方自动展示符合该规则名称的规则。如下图所示:
图5-64 规则查询
用户可根据风险级别搜索数据库默认规则,搜索项分别为全部、高可疑、中可疑、低可疑,如下图所示:
图5-65 风险级别
针对应用服务器的审计规则,操作与数据库服务器规则类似,只是规则的内容不同。如下图所示:
图5-66 应用服务器规则
点击<添加>按钮新建识别规则。主要设置项如下图所示:
图5-67 添加规则
应用服务器规则的其它操作与数据库服务器规则相似,此处不再赘述,具体的可以参考数据库服务器规则部分。
包含系统正常运行,风险事件识别所需要的各种对象,可以对对象进行添加、删除、修改、清空、导入、导出、下载模板。主要对象包括:地址池、时间范围、数据库名、数据库用户名、操作表名、应用程序名、操作内容、操作方式、计算机名、错误代码。
图5-68 对象管理
每种信息的含义和操作方式将在下文中描述。
点击左栏菜单中“地址池”进入地址池管理页面:
图5-69 地址池
点击<添加>按钮,输入地址池对象名称,描述,选择IPMAC列表类型,填写对应的IP地址与MAC地址到列表,点击<确定>即可加入;
图5-70 添加IPMAC
点击<添加>按钮,输入地址池对象名称,描述,选择网段类型,填写对应的IP地址子网掩码类型,点击<确定>即可加入;
图5-71 添加网段
当选定已有的某条记录,点击<修改>进行编辑,修改完成后点击<确定>完成修改。
选定已有的某条记录,点击<删除>,即可把已经存在的某个对象删除。如下图所示:
图5-73 删除
当需对已添加的地址池对象全部删除时,可点击<清空>,即可把已经存在的所有地址池标签下的内容全部删除,如下图所示:
图5-74 清空地址池
用户可以逐条添加地址池信息外,可以点击<导入(单次最多5000条,上限为10000条)>按钮,通过批量导入的方法添加地址池信息。如下图所示:
图5-75 导入
勾选地址池信息,点击<导出选中(最多10000条)>,或直接点击<导出全部(最多10000条)>,在弹出密码设置框中,选择是否加密即可将客户端信息导出,如下所示。
图5-76 导出
当需要批量导入地址池信息时,为避免导入错误,可点击<下载模板>按钮,通过模板引导来正确的导入格式,保证成功导入信息。如下图所示:
图5-77 下载模板
点击栏菜单中“时间范围”进入时间范围管理页面:
图5-78 时间范围
点击左栏菜单中时间范围进入时间范围对象管理,点击<添加>进入时间范围对象添加界面:
图5-79 添加
时间对象名称,描述,然后将光标移至时间范围左侧的文本框处,通过拖动滑块设置开始时间。同样的方法可以设置终止时间;如下图所示:
图5-80 选择时间
时间类型的选择,可以选择日期、星期、单个时间。
图5-81 时间类型
时间范围的修改、删除操作与地址池一致,只需选择某记录后点击<修改、删除>按钮进行操作后点击<确定>即可。
时间范围的清空操作与地址池一致,只需点击<清空>按钮进行操作后点击<确定>即可。
时间范围的导入、导出、下载模板操作与地址池一致,此处不再重复。
数据库名即与业务相关的数据库实例名。用户可以对其进行添加、删除、修改、清空、导入、导出、下载模板等操作。
图5-82 数据库名
点击界面中的<添加>按钮,在弹出[添加数据库名]窗口中录入相关数据,点击<确定>按钮即可添加成功。如下图所示:
图5-83 添加
删除、修改、清空、导入、导出、下载模板等操作与其它对象的操作类似,此处不再赘述。
数据库的用户,管理员在此进行用户的添加、删除、修改、清空、导入、导出、下载模板等操作。数据库用户名可用于规则中。
图5-84 数据库用户名
点击界面中的<添加>按钮,在弹出[添加数据库用户名]对话框输入相关数据后点击<确定>按钮即可添加成功。如下图所示:
图5-85 添加
删除、修改、清空、导入、导出、下载模板等操作与其它对象的操作类似,此处不再赘述。
操作表名,用于规则定义,可以对操作表名进行添加、删除、修改、清空、导入、导出、下载模板等操作。
图5-86 操作表名
操作表名的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
业务系统中存在的应用程序名,可以是合法或非法的,用于定义识别规则。若是合法的应用程序名则常用于过滤规则,若是非法的,常用于识别各类风险事件。
图5-87 应用程序名
应用程序名的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
操作内容是SQL操作方式的具体参数,如某个表、某个字段、甚至是某个对象的具体的值。界面如下图所示:
图5-88 操作内容
操作内容的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
预先定义规则中会引用到的操作方式,并对其进行增加、删除、修改、清空、导入、导出、下载模板等操作,如下图所示:
图5-89 操作方式
操作方式的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
计算机名称,定义规则时,主要用于设置客户端触发条件。界面如下图所示:
图5-90 计算机名
计算机名的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
错误代码,即与业务相关的数据库的错误代码。用户可以对其进行添加、删除、修改、清空、导入、导出、下载模板等操作。如下图所示:
图5-91 错误代码
错误代码的添加、修改、删除、清空、导入、导出、下载模板与其它对象的操作方式一致,在此不再累述。
系统可收集或添加导入业务环境中所有客户端信息,包括:客户端IP地址、MAC地址、主机标识、科室、房间号、交换机(端口号)、业务账号,更新时间、来源、描述等等。在追踪定位事件时可以快速的定位到发生时间的客户端信息,即事件的主体。最多可存储10000条客户端信息。点击[策略中心/客户端信息]进入对客户端信息页面,如下图所示:
图5-92 客户端信息
用户可通过点击<添加>来手动添加某条客户端信息,把客户端信息填完后点击<确定>,系统将保存此条信息。如下图所示:
图5-93 添加
当需修改某条客户端信息,用户可勾选需修改的客户端信息后,点击<修改>,在修改客户端信息页面修改,修改完成后点击<确定>即可。如下图所示:
图5-94 修改
当需删除某条客户端信息,用户可勾选要删除的客户端信息后,点击<删除>,在弹出的消息框,点击<确定>即可完成删除。如下图所示:
图5-95 删除
用户可以逐条添加客户端信息外,可以通过批量导入的方法添加客户端信息。如下图所示:
图5-96 导入
如需对已添加的客户端信息全部删除时,可点击<清空>,即可把已经存在的客户端信息全部删除,如下图所示:
图5-97 清空客户端信息
客户端导出提供可选加密功能,点击<导出全部(最多5000条)>后,在弹出密码设置框中,选择是否加密即可将客户端信息导出,如下图所示。
图5-98 导出全部
图5-99 未设置压缩密码
图5-100 已设置压缩密码
当需要批量导入客户端信息时,为避免导入错误,可下载模板,通过模版引导来正确的导入格式,保证成功导入客户端信息。点击<下载模板>按钮,在弹出的提示框中选择<保存文件>后确定,下图所示:
图5-101 下载模板
导入导出目前只支持扩展名为.csv的文档。
敏感信息主要应用与规则,定义业务系统中的用户非常关心的重要信息。包含业务系统、关键表、关键字段、医生ID对应表、药品ID对应表、应用程序对应表等,敏感信息是产生统方事件的必要因素之一,且敏感信息起到翻译作用。系统对用户业务系统中的关键信息进行了映射,即数据库中的数据翻译成对应的描述,使用户能一目了然地读取获取事件的信息。点击[策略中心/敏感信息]进入敏感信息界面。
图5-102 敏感信息
业务系统:系统内置了18家HIS(医院信息管理系统)厂商统方规则库,能够准确识别各种统方操作,同时可根据业务自定义规则。系统默认情况下为自定义,可根据用户使用的HIS进行配置。点击<业务系统>,进入业务系统管理页面。
图5-103 业务系统
关键表:用户可在此定义业务系统中的重要数据库表,可通过关键表名或关键表的别名进行查询。在此可对关键表进行添加、修改、删除、清空、导入、导出全部关键表信息、下载模板等操作。
图5-104 关键表
点击<添加>按钮,输入关键表名、别名、选择启用状态与是否启用语句翻译,最后填写描述后点击<确定>即可添加关键表。
图5-105 添加关键表
当需修改某个关键表内容,用户可勾选需修改的关键表后,点击<修改>,在[修改关键表]框进行修改,修改完成后点击<确定>即可。如下图所示:
图5-106 修改关键表
如需删除某个关键表,用户可勾选要删除的关键表后,点击<删除>,在弹出的确定框,点击<确定>即可完成删除。如下图所示:
图5-107 删除关键表
如需删除全部的关键表,可通过点击<清空>,来清空所有关键表,在弹出的消息框点击<确定>,即可完成删除。如下图所示:
图5-108 清空关键表
用户可以逐条添加敏感信息,也可以通过导入已有的.CSV文档快速添加关键表信息。点击<导入(最多5000条)>后选择CSV文件的位置后,<确定>即可导入。如下图所示:
图5-109 导入
敏感信息导出提供可选加密功能,如需导出全部关键表配置信息,可点击<导出全部(最多5000条)>按钮,根据需求选择是否加密后,即可导出敏感信息关键表配置信息。如下图所示:
图5-110 导出全部
图5-111 未设置压缩密码
图5-112 已设置压缩密码
当需要批量导入关键表时,为避免导入错误,可下载模板,通过模版来引导正确的导入格式,保证成功导入关键表。点击<下载模板>按钮,在弹出的提示框中选择<保存文件>后确定。如下图所示:
图5-113 下载模板
关键字段:用户可在此定义业务系统中的数据库表中重要的字段,可通过关键字段名或关键字段的别名进行查询。在此可对关键字段进行添加、修改、删除、清空、导入、导出全部关键字段信息、下载模板等操作。点击菜单中“关键字段”进入其管理页面:
图5-114 关键字段
点击<添加>按钮,输入关键字段名、别名、选择是否启用状态和是否启用语句翻译,最后填写描述后,点击<确定>即可添加关键字段。
图5-115 添加关键字段
关键字段的修改、删除、清空、导入、导出全部、下载模板等操作与关键表的操作类似,此处不再赘述。
医生ID对应表:用户根据实际情况添加医生ID对应表,让医生ID号与对应的字段一一对应,使数据库中的数据翻译成指定的别名,方便用户查阅分析。点击菜单中“医生ID对应表”进入“医生ID对应表”管理页面:
图5-116 医生ID对应表
点击<添加>按钮,输入对应字段名、医生ID号、别名、选择启用状态、是否启用语句翻译和行为者翻译,最后填写描述后,点击<确定>即可添加医生ID对应表。
图5-117 添加医生ID对应表
医生ID对应表的修改、删除、清空、导入、导出全部、下载模板等操作与其它敏感信息配置操作类似,此处不再赘述。
药品ID对应表:用户可在此定义药品ID对应表,使药品ID号与其对应字段一一对应,让数据库中药品数据翻译成指定的别名,方便用户查阅分析。点击菜单中“药品ID对应表”进入“药品ID对应表”管理页面:
图5-118 药品ID对应表
点击<添加>按钮,输入对应字段名、药品ID号、别名、选择启用状态和是否启用语句翻译,最后填写描述后点击<确定>即可添加药品ID对应表。
图5-119 添加药品ID对应表
药品ID对应表的修改、删除、清空、导入、导出全部、下载模板等操作与其它敏感信息配置操作类似,此处不再赘述。
应用程序对应表:为应用程序名配置对应的别名,让应用程序名在系统审计翻译成指定的别名,方便用户查阅分析。点击菜单中“应用程序对应表”进入“应用程序对应表”管理页面:
图5-120 应用程序对应表
点击<添加>按钮,输入应用程序名、别名、选择启用状态与是否启用语句翻译,而后填写描述后点击<确定>即可添加应用程序对应表。
图5-121 添加应用程序对应表
应用程序对应表的修改、删除、清空、导入、导出全部、下载模板等操作与其它敏感信息配置的操作类似,此处不再赘述。
用户可自定义敏感信息是否启用,若启用将会影响事件识别规则,反之,不影响。
敏感信息关键表、关键字段、应用程序对应表各自的启用上限为100,即各自列表下,同时可启用的信息条数为100条。到达启用上限后添加或者导入的信息,启用状态自动变为停用。例如当关键表已存在95条信息(均启用)时,用户再导入10条已启用的信息可导入成功,导入信息的前5条仍为启用状态,但后5条变为停用状态。
医生ID对应表、药品ID对应表存放的信息仅作为翻译使用,启用与否也不影响翻译。
系统将识别到的事件分三个等级:高可疑、中可疑、低可疑三级。响应策略主要有:windows告警、syslog告警、snmp trap告警、发送邮件、短信猫五种。
为各类风险事件设置统一响应策略,并以列表形式展示设置结果,如下图所示:
图5-122 风险响应策略
修改响应策略:选择某类事件后点击<确定>按钮可以修改该类事件的响应策略,如下图所示:
图5-123 修改
在配置或修改响应策略时,若想选择某种响应策略,需要在[风险响应规则/响应策略配置]页面中先对其进行配置,否则会被告知无法设置。
各类响应策略的参数配置。主要内容如下图所示:
图5-124 响应策略配置
当触发该响应策略时,系统会按照设置好的时间间隔向指定IP主机发送弹出式WINDOWS消息提示框。告知用户并采取相应措施。配置参数如下图所示:
图5-125 Windows告警配置
参数配置后请点击<测试>按钮进行测试配置是否成功,成功后请点击<保存配置>。
需要配置syslog服务器IP及端口号,当风险事件发生时,系统会发送SYSLOG日志给SYSLOG服务器:
图5-126 syslog告警配置
最多支持5个SYSLOG服务器配置且同时发送多服务器,每组服务器配置包含IP地址、端口、编码策略。参数配置后请点击<测试>按钮进行测试配置是否成功,成功后请点击<保存配置>。
注:SYSLOG服务器配置测试,成功提示仅供参考。实际有可能不成功,由于SYSLOG使用的是UDP协议,需到SYSLOG服务器上确认是否接收到SYSLOG日志。
当触发该响应策略的条件时,系统会向指定的邮件服务器发送邮件提醒。各项参数如下图所示:
图5-127 邮件服务器配置
参数配置后请点击<测试>按钮进行测试配置是否成功,成功后请点击<保存配置>。若需修改密码,请先勾选<修改密码>后再输入新密码,并点击<保存配置>。
若需要配置无登录认证的邮箱,请先取消勾选“启用邮箱登录认证”。
注:旧设备升级至6206P06版本后,若此前有配置邮件服务器,则“启用邮箱登录认证”的勾选框为默认勾选,若无配置,则默认不勾选。
配置SNMP TRAP告警的基本信息,如下图所示:
图5-128 SNMP TRAP配置
· IP地址:配置SNMP TRAP服务器的IP地址。
· 端口:配置SNMP TRAP端口信息。
· 版本:配置SNMP TRAP相对应的版本信息。
可将SNMP TRAP的告警信息发送到SNMP TRAP服务器上,方便查阅!
当触发该响应策略的条件时,系统会向指定的电话号码发送短信提醒。配置参数如下图所示:
图5-129 短信猫配置
三层关联是对三层审计到的SQL语句及三层审计进行关联规则学习,主要功能是:
(1) 学习用户业务环境中已发生的URL和SQL语句的对应关系
(2) 通过学习,建立三层审计的关联规则库,将SQL语句与URL进行精确关联
三层关联从两个角度进行关联:与URL关联的SQL,与SQL关联的URL。点击[策略中心/三层关联],打开界面如下图所示:
图5-130 三层关联
建立的关联规则库将在“三层关联”页面中引用,对SQL语句与URL进行精确关联后展示给用户。
点击<关联规则学习>按钮,在弹出[关联规则学习]窗口中进行参数设置,如下图所示:
图5-131 关联规则学习
· 时间类型
选择要学习的数据源(时间),可以对某天或某段时间发生的三层审计数据进行学习。
学习的数据源必须是过去的、已发生的。
· 计划任务
若不勾选此项,任务默认是立即执行。若勾选该项,并设置执行的时间,点击<计划执行>按钮,系统将在用户设置的日期开始对选定的数据源进行关联分析。
系统已执行了关联规则学习后,对之前设置的数据源进行URL与SQL语句关联的结果将会在三层关联界面中展示,在文本框中输入操作内容可以对结果进行查询。如下图所示:
图5-132 关联结果查询
选择某条URL记录后点击<取消关联>按钮,在弹出[确认]对话框中点击<确定>将会取消该关联。
图5-133 取消关联
展示与SQL关联的URL数据,也提供了关联规则学习和取消关联的功能。具体操作请查阅本节中的“URL关联”部分。
入侵检测规则提供了针对ORACLE、SQL Server、MySQL三种类型数据库以及其他类型的检测入侵。用户根据需要启用或禁用规则,还可以通过升级攻击规则,完善规则库。打开入侵检测规则,如下图:
图5-134 入侵检测规则
入侵检测:针对黑客攻击数据库系统进行发现与告警。
点击
,点击<确定>即可开启入侵检测规则库,如下图所示:
图5-135 开启
点击
,点击<确定>即可关闭入侵检测规则库,如下图所示:
图5-136 关闭
点击
,可以根据规则ID、规则名称等关键字查询相关规则,并进行规则的启用和停用操作。
图5-137 规则查看
在检索列表左侧点击
,可以在新窗口中查看该规则更详细的信息。主要有:规则信息,报文特征信息、规则描述、影响、判断信息、处理方式信息,及CVE的参考信息等。如下图所示:
图5-138 规则详情
点击<升级版本>,用户可以通过导入的方法升级检测规则库。如下图所示:
图5-139 规则升级
点击<恢复默认>,点击<确定>即可恢复默认设置。如下图所示:
图5-140 恢复默认
系统自带规则,只能启用或者停用,不能添加或者修改。在左侧选择攻击类型,然后在右侧设置相应的规则,具体的操作有以下几种:
· 规则启用
用户可以在右侧中选择不同攻击规则,然后点击<规则启用>即可启用列表中所选规则。
图5-141 规则启用
规则被启用并生效后,会提示启用成功,并在规则状态显示启用,如下图所示:
图5-142 状态
· 规则停用
用户可以在右侧中选择已启用的攻击规则,然后点击<规则停用>即可停用列表中所选中的正在生效的规则。
图5-143 规则停用
· 全部启用
用户点击<全部启用>按钮,在弹出[确认]框中点击<确定>即可启用列表中所有规则。
图5-144 启用
· 全部停用
右侧显示的是当前启用的规则列表,可以点击<全部停用>按钮禁用所有正在生效的规则。
图5-145 停用
用户通过三层设备访问数据库时,其真实MAC地址将被隐藏,通过交换机信息模块,获取与交换机连接终端的真实IP及MAC地址。通过预先设置的snmp口令,获取交换机上存储的CAM信息。点击<开始扫描>前,需要指定扫描对象,即“激活”交换机。扫描行为将每隔一分钟获取一次数据,新数据将覆盖现有数据。
界面中列出了用户添加的交换机信息。主要信息包括交换机IP、版本号、共同体以及交换机的状态。如下图所示:
图5-146 交换机信息
点击<添加>按钮,在弹出[添加交换机信息]框中输入交换机相关信息后,点击<确定>即可添加成功。如下图所示:
图5-147 添加交换机
勾选列表中需要编辑的记录,点击<修改>按钮,在弹出[修改交换机信息]对话框中进行修改后确定即可。
图5-148 修改交换机
当不需要使用该交换机时,勾选列表前面复选框后点击<删除>按钮,在弹出[确认]框中点击<确定>即可。
图5-149 删除交换机
当需要清空交换机列表时,点击<清空>按钮,在弹出[确认]框中点击<确定>按钮即可。
图5-150 清空交换机
交换机扫描主要是对连接到交换机上的PC终端进行扫描,获取PC终端真实的IP、MAC对应关系,并在事件追踪界面中展示中客户端MAC地址一栏展示。如下图所示:
图5-151 交换机扫描
交换机的状态有两种:启用、未启用。启用的状态是一把已打开的锁,如下图所示:
图5-152 状态
启用:
未启用:
(1) 开始扫描
对交换机进行扫描前,请确认交换机的状态是启用的。然后点击界面中<开始扫描>按钮,在弹出[确认]框中点击<确定>后,系统提示开始扫描成功,并对列表中已启用的交换机每隔一分钟自动扫描一次。界面中<开始扫描>按钮自动变更为<停止扫描>。
图5-153 扫描
(2) 停止扫描
不需要扫描时,点击界面中<停止扫描>按钮即可。
系统管理主要介绍如何了解当前系统的运行状态,系统正常运行需要进行哪些基本配置,介绍系统运行中的各种日志数据,以及审计到的数据如何保管。具体可以分为这几个部分:网络配置、用户管理、系统服务、运行日志、日志响应、调试工具、配置管理、系统信息、管理主机等。
图6-1 系统管理
D2000-V、D2000-C系列虚拟数据库审系统仅支持表格模式的网口展示,不支持面板模式的网口展示。
设备的网口配置,可以将网口设置为管理口、监听口。有面板模式和表格模式,面板模式展示与物理设备面板一一对应的网卡模拟展示图,根据实际连线情况实时展示网卡当前接线状态,并以水量方式展示网卡当前负载,鼠标移至网卡会显示该网卡的详细信息。点击左栏菜单[系统管理/网络配置]进入配置界面,如下图所示:
图6-2 网络配置
(1) 设置/修改IP
面板模式下选择
按钮;表格模式下,选择某个网卡,右击选择
按钮后,在弹出[设置/修改IP]窗中修改IP信息,如下图所示:
图6-3 修改
监听网卡无需设置IP。
(2) 删除IP
面板模式下选择
按钮;表格模式下,选择某个监听网卡,右击选择
按钮后,在弹出[确认]窗口中点击<确定>即可删除该网卡IP,如下图所示:
图6-4 删除
(3) 配置生效
网卡设置IP后并未马上生效,需要点击
按钮,系统提示“配置生效成功”才算是生效。如下图所示:
图6-5 配置生效
(4) 监听网卡设置
设置是否监听该网卡,如下图所示:
图6-6 监听网卡设置
(5) 开关网卡设置
设置网卡禁用和启用的操作,如下图所示:
图6-7 监听网卡设置
(1) 添加
点击<添加>按钮,在弹出[添加路由配置]框中,输入静态路由相关信息后,点击<确定>,即可添加静态路由成功,如下图所示:
图6-8 添加路由配置
(2) 修改
勾选要修改的静态路由,点击<修改>按钮,在弹出[修改路由配置]框中,修改静态路由相关信息后,点击<确定>,即可修改静态路由成功,如下图所示:
图6-9 修改路由配置
(3) 删除
勾选要删除的静态路由,点击<删除>按钮,弹出确认信息,确定后,即可删除静态路由,如下图所示:
图6-10 删除路由
系统的管理体系的划分遵循了GB/T 18336.2-2001中的安全管理规定,GB/T 18336.2-2001其等有效采用ISO/IEC 15408 Common Criteria for IT Security Evaluations (CC),相关说明部分摘录如下:
· FMT_SMR.1安全角色
在FMT_SMR.1.1中,PP/ST作者应规定系统所认同的角色,就安全而言这些角色是用户可以拥有的角色。例如:拥有者、审计员和管理员。
· FMT_SMR.2安全角色限制
在FMT_SMR.2.3中,PP/ST作者应规定制约角色分配的条件。这些情况的例子如:“一个账户不能同时具有审计员和管理员两种角色”或“具有助理角色的用户也必须具有拥有者角色。”
· FMT_SMR.3承担角色
在FMT_SMR.3.1中,PP/ST作者应规定需要作出明确请求才能承担的角色。例如:审计员和管理员。
系统根据用户的不同角色提供不同的命令集合。
(1) 系统管理员(admin):系统默认用户名及密码为:admin/admin,对应GB/T 18336中提到的管理员,权限如下:
· 个人信息管理。
· 系统运行参数配置。
· 查看系统运行状态。
· 无权操作其它角色功能。
(2) 系统审计员(audit):系统默认用户名及密码为:audit/audit,对应GB/T 18336中提到的审计员,权限如下:
· 个人信息管理。
· 查看系统运行状态。
· 查看其它角色的操作日志信息。
· 无权操作其它角色功能。
(3) 系统安全员(sec):系统默认用户名及密码为:sec/sec,对应GB/T 18336中提到的安全员,负责权限如下:
· 个人信息管理。
· 与业务有关的操作及信息查看。
· 查看系统状态。
· 无权操作其它角色功能。
(4) 监察员(mon):系统默认用户名及密码为:mon/mon。负责权限如下:
· 个人信息管理。
· 与业务有关的操作及信息查看。
· 无权操作其它角色功能。
四类角色具有的权限范围不同,具体的权限分配请参考“表1-1各类角色权限分配表”
系统内置了以下四类用户的超级用户,每个用户只能对本组的用户权限管理。例如,系统内置的admin用户只能对系统管理员的用户进行增、删、改,权限分配等管理操作。
点击[系统管理/用户管理],进入当前登录用户所属角色类型的用户列表,如下图所示是系统管理员admin用户列表:
图6-11 用户管理
(1) 添加用户
进入添加用户的操作界面:
图6-12 增加用户
左侧是用户基本信息,右侧是权限列表。正确填写各项信息后点击<确定>即可。
(2) 修改用户
选择某个已存在的用户,点击<修改用户>按钮,即可对其基本信息和系统权限修改,修改完毕后点击<确定>即完成修改,如下图所示:
图6-13 修改用户
(3) 删除用户
选择一个或多个已存在的用户,点击<删除用户>按钮,在弹出[确认]框中选择<确定>,将立即删除该用户,如下图所示:
图6-14 删除用户
(4) 用户状态修改
将鼠标放置在用户状态字段下的锁的图标时,可以修改用户状态,如下图所示:
图6-15 修改状态
未锁定:图标的锁是打开的
,该用户可以正常使用。
锁定:图标的锁是锁住的
,表示该用户已经被锁定,无法使用。
(5) 登录设置
该功能只有系统超级用户才拥有,在此可以对系统所有角色用户的登录进行设置。点击用户列表上的
按钮,对系统所有用户进行登录设置。主要内容如下图所示:
图6-16 用户登录设置
· 登录失败次数锁定:登录失败包括用户名错误,密码错误,验证码错误。如果超过该次数,该客户端将被锁定,即锁定IP。在锁定时间内该客户端上其它用户也不能登录。系统不提供解锁功能,必须等待锁定时间结束后,客户端自动解除锁定。
· 登录失败锁定时间:客户端被锁定后需要经过N(N是大于等于30的整数)分钟后才能解锁,最长设置525600分钟(即365天)。
· 无操作自动注销时间:用户登录成功后,无操作动作的时间,超过该时间,用户自动注销。
· 口令使用期限:用户口令可使用天数,可设置1-7天。
· 维护提醒周期:周期性(建议每7天)提醒管理员维护配置(登录配置)。
· 最短密码长度:管理员可设置用户设立密码的最短长度(字符)。
· 密码中允许同一字符连续出现的最大次数:同一字符在密码中连续出现允许的最大次数,可设置0-9,0表示无限制。
· 管理员可配置用户设立密码的复杂度:强制重置密码、小写字母数、大写字母数、数字字符数、非数字非字母字符数、验证码是否启用、弱密码检测是否启用。
类似我们操作系统中的服务管理器,对系统运行产生各种服务进行启用、停用管理和配置。
在左侧菜单栏中点[系统管理/系统服务]进入界面,如下图所示:
图6-17 系统服务
点击
,可以重启系统。
点击
,可以关闭系统。
点击监听服务操作栏上的重启或者停止按钮,可以对监听服务进行重启和停止。
点击配置按钮,可配置VXLAN端口,支持对VXLAN协议审计。
图6-18 监听服务配置界面
没有配置Vxlan端口时,可以审计udp和tcp流量数据。配置了Vxlan端口时,只审计tcp和Vxlan流量数据,因为Vxlan协议的上层协议是udp,这时不会审计非Vxlan的udp流量数据
点击SNMP服务操作栏上的配置按钮,可对SNMP服务进行配置,如下图所示:
图6-19 SNMP服务配置
点击SSH服务操作栏上的配置按钮,可对SSH服务进行配置,如下图所示:
图6-20 SSH服务配置
如需上传用户已认证的SSL证书,替换系统SSL证书,可点击HTTPS服务操作栏上的<上传用户证书> 按钮,在[上传用户证书]配置框中,
· 输入要上传的SSL证书私钥的密码,如无密码可不填;
· 点击上传证书栏的<浏览>按钮,上传SSL证书文件,证书文件后缀需为crt或pem;
· 点击上传私钥栏的<浏览>按钮,上传私钥文件,私钥文件后缀需为key。
· 点击<确认>按钮上传证书,若成功上传,页面将进行成功提示,并在约30秒后自动刷新。如下图所示:
图6-21 上传用户证书
如需恢复系统默认SSL证书,可点击HTTPS服务操作栏上的<恢复默认证书> 按钮,在确认框中点击<确认>按钮。若成功恢复,页面将进行成功提示,并在约30秒后自动刷新。如下图所示:
图6-22 恢复默认证书
1、私钥格式说明:证书私钥格式必须符合RFC 8017协议和RFC 5958协议,以BEGIN RSA PRIVATE KEY或BEGIN PRIVATE KEY开头,严格匹配,否则将导致证书上传失败。建议使用openssl rsa和openssl genpkey两种命令生成私钥。
2、证书错误恢复措施:物理设备因证书上传错误导致页面无法访问时,可通过串口执行restore_ssl命令恢复默认证书;虚拟数据库审计暂无恢复措施,请谨慎进行上传用户证书操作。
运行日志记录了系统自身运行过程中的日志,包括正常运行日志、系统异常日志、其它运行日志。在此页面可以分类查询,或导出、删除日志。
(1) 正常运行日志:系统CPU、内存、存储空间等系统运行参数正常,系统正常运行。
(2) 系统异常日志:系统无法正常运行。
(3) 其它运行日志:除正常运行日志和系统异常日志外的其它运行日志。
点击[系统管理/运行日志],进入界面如下图所示:
图6-23 运行日志
点击<导出当前日志(最多600条)>按钮,提供可选加密功能,在弹出密码设置框中,选择是否加密,即可导出日志。可以最多导出600条当前所有系统日志包括正常运行、系统异常及其它运行日志,导出日志的格式为CSV格式。
图6-24 导出
图6-25 未设置压缩密码
图6-26 已设置压缩密码
点击<导出选中日志>按钮,提供可选加密功能,在弹出密码设置框中,选择是否加密,即可导出所选的运行日志。可以导出勾选的系统日志包括正常运行、系统异常日志及其它运行日志,导出日志的格式为CSV格式。
图6-27 下载加密选择
图6-28 未设置压缩密码
图6-29 已设置压缩密码
点击<删除日志>按钮,在弹出[删除日志]框中选择需要保留的最近N(整数)天日志(即删除N天之前的所有日志),再选择删除的日志类型,点击<确定>后立即执行删除操作。
图6-30 删除
日志可以被删除,但是删除日志的行为将会被记录到操作日志。
鼠标点击
这四个按钮可以在列表中展示对应的日志内容。
为不同类型的系统日志设置响应策略,一旦发现危险的日志行为将会发出告警。点击左栏菜单中的[系统管理/日志响应],进入界面如下图所示:
图6-31 日志响应
选择某类日志类型后,点击<修改>按钮在弹出[修改系统日志响应策略]框中修改响应策略,点击<确定>按钮后即可保存配置。如下图所示:
图6-32 修改
系统为管理员提供了两个调试工具分别是ping和sniffer。
点击右上角的“系统管理”,然后在左栏菜单[系统管理/调试工具]进入界面,如下图所示:
图6-33 调试工具
具体作用如下:
填入相关查询参数后点击<开始>按钮进行查询分析。如下图所示:
图6-34 分析结果
填入相关查询参数后点击<开始>按钮进行查询分析。如下图所示:
图6-35 分析结果
对系统各项基本参数进行备份管理。点击[系统管理/配置管理]进入配置管理界面,如下图所示:
图6-36 配置管理
具体作用如下:
备份当前所有的配置,方便下次恢复。支持备份项的自由选择,可根据所需进行备份。
图6-37 备份
导入之前的备份配置文件。
图6-38 导入
下载系统已有的备份文件,用于下次恢复到某时期的系统配置。勾选某备份的配置记录,点击<下载配置>,在弹出框中点击<保存>,将配置文件保存到指定目录中。
图6-39 下载
将系统的配置恢复到某个版本。选择某个配置备份记录,点击<恢复配置>在弹出[选择要恢复的配置]选择相应项,然后点击<确认>,当前的系统配置将恢复到该配置。默认不选择网络配置、管理主机的配置,恢复可能导致系统无法访问,需谨慎选择。
图6-40 恢复配置
删除配置文件。选择某个配置备份记录后,点击<删除配置>后,将会在系统中删除该配置备份文件。
图6-41 删除
将系统的配置清空,恢复到出厂设置。点击<清空配置>后,在弹出[确认]框中点击<确定>,系统将恢复到默认配置。
图6-42 清空配置
将系统的审计数据全部清空。点击<清空数据>后,在弹出[确认]框中点击<确定>,系统将清空全部的审计数据。
图6-43 清空数据
展示系统的基本信息,包括系统时间,产品信息。用户可以在此修改系统时间,升级和注册系统。
展示系统的当前的时间,若不准确可以点击<更改>按钮,在弹出[更改日期和时间设置]对话框中更改,弹出的界面如下图所示:
图6-44 系统时间
系统时间的准确性,将直接影响采集数据的时间戳。
D2000-V、D2000-C系列虚拟数据库审计系统采用文件授权方式时,系统时间调整与硬件版本一致。当虚拟数据库审计系统由虚拟数据库审计授权管理系统(License Server)授权时,系统时间强制与虚拟数据库审计授权管理系统的时间同步,手动同步不生效,如下图所示:
(1) 手动同步
单击弹出框中的“本机时间”输入框,在下拉的列表中设置时间,如下图所示:
图6-45 本机时间
分别设置时、分、秒后点击<确定>按钮后点击<手动同步>按钮,系统时间开始更新时间,并提示更新成功,如下图所示:
图6-46 手动同步
(2) 自动同步
可以有两种同步时间源:从网络上同步、从数据库服务器上同步。不论哪种自动同步,系统将会每天自动在6:00和18:00分别与同步时间源同步两次时间,确保系统时间准确性。
· 从网络上同步
需要设置同步时间源的时间服务器,可以是外网的也可以是本地的时间服务器,本地的需要先设置好NTP服务,具体内容如下图所示:
图6-47 NTP服务
· 从数据库服务器上同步
需要设置同步时间源的相关参数,具体内容如下图所示:
图6-48 更改
配置好同步参数后,点击<保存配置>后关闭窗口即可,用户也可以点击<立即更新时间>马上进行时间同步。
(3) 不自动同步
若不希望系统时间自动同步,则可设置为不自动同步。
产品信息中可以对系统进行升级和硬件注册。
(1) 系统升级
点击界面中的<升级>按钮,可以找到本地已有的升级文件,对系统进行升级,如下图所示:
图6-49 系统升级
点击产品信息中<升级>按钮,会弹出[系统升级]界面,如下图所示:
图6-50 升级
(2) 下载升级日志
产品信息中可以下载系统更新日志并提供日志可选加密功能,点击<下载升级日志>按钮,弹出密码设置框,选择是否加密后,即可下载系统更新日志,如下图所示:
图6-51 查看日志
图6-52 未设置压缩密码
图6-53 已设置压缩密码
(3) 系统授权
注册前,需要修正设备系统时间,然后才能硬件信息更新、引擎注册、初始化硬盘等操作。
· D2000-G系列硬件数据库审计系统授权如下。
图6-54 系统授权
· D2000-V、D2000-C系列虚拟数据库审计系统授权如下。
虚拟数据库审计系统的授权支持两种方式:文件授权和虚拟数据库审计授权管理系统(License Server)授权,文件授权方式只支持临时授权,如下图所示:
图6-55 虚拟数据库审计系统授权示意图
因 D2000-V、D2000-C系列虚拟数据库审计系统的型号根据授权进行变化,因此,在未授权的情况下,在待授权页面上产品型号展示为空。
对主机进行管理,点击左栏菜单[系统管理/管理主机]进入界面,IPv4与IPv6操作步骤相同,以添加IPv4地址管理主机为例,操作如下图所示:
图6-56 管理主机
管理主机中配置IP及MAC地址时,只允许同网段情况使用。
注意,如果配置管理主机后,需要将安装了录屏工具和安装了流量探针的设备ip加入到管理主机中,不然会影响功能使用。
只有生效的管理主机可ping通数据库审计系统。在启用管理主机功能时,非管理主机或已失效的管理主机可能存在可ping通数据库审计系统的情况,是因为这些主机可能存在缓冲,需停止后等待一段时间后,再次验证。
从数据库审计系统对外发起的连接(如FTP归档文件外传、发送报表邮件、调试工具的ping功能等),不受管理主机列表及“开启远程调试端口”勾选状态影响;
直连数据库审计系统的检修口(1.0.0.1),不受管理主机列表及“开启远程调试端口”勾选状态影响;
已与数据库审计系统建立的连接(如ssh连接或对审计设备数据库的连接),不会因管理主机功能或“开启远程调试端口”勾选状态变化而中断。
点击<添加>按钮后,填入IPv4地址、子网掩码、MAC地址、是否生效、描述即可。如下图所示:
图6-57 添加
选择某个管理主机,点击<修改>按钮后,在弹出[修改管理主机]窗中修改主机信息,如下图所示:
图6-58 修改
选择某个管理主机,点击<删除>按钮后,在弹出[确认]窗口中点击<确定>即可删除该管理主机,如下图所示:
图6-59 删除
管理主机添加记录时,“是否生效”选项默认为“失效”。若要使管理主机生效,有两种方式,一种是在添加/修改管理主机时将其设置为“生效”并成功保存。另外一种是在列表中勾选“失效”状态的管理主机后,点击<生效>按钮,系统提示“设置生效成功”,即可生效。若要使管理主机失效,同理也有两种方式,一种是在添加/修改管理主机时将其设置为“失效”。另一种是在列表中勾选“生效”状态的管理主机后,点击<失效>按钮,系统提示“设置失效成功”,即可失效。
该选项默认勾选,取消勾选并<保存配置>后,将有以下效果:
(1) 其它主机无法通过ssh服务连接数据库审计系统后台。
(2) 其它主机无法连接数据库审计系统的数据库。
(3) 其它主机无法ping通数据库审计系统。
恢复勾选该选项并<保存配置>后,即可恢复。
记录了所有角色的所有用户的操作,主要包括:用户登录日志、用户退出日志、配置修改日志、其它操作日志。点击[系统管理/操作日志],进入界面如下图所示:
图6-60 操作日志
提供可选加密功能,点击<导出当前日志(最多600条)>按钮,弹出设置密码界面,在弹出密码设置框中,选择是否加密,如下图所示。点击<导出日志>按钮,可以最多导出600条当前所有系统日志,包括用户登录日志、用户退出日志、配置修改日志及其它操作日志,导出日志的格式为CSV格式。
图6-61 导出当前日志(最多600条)
图6-62 未设置压缩密码
图6-63 已设置压缩密码
点击<导出选中日志>按钮,弹出密码设置框,选择是否加密后,即可导出所选的操作日志。可以导出勾选的操作日志包括用户登录日志、用户退出日志、配置修改日志及其它操作日志,导出日志的格式为CSV格式。
图6-64 导出选中日志
图6-65 未设置压缩密码
图6-66 已设置压缩密码
点击<删除日志>按钮,在弹出[删除日志]框中设置删除条件即可删除对应的日志信息。如下图所示:
图6-67 删除日志
通过鼠标点击
这五个按钮可以查看各类操作日志,各类操作日志内容主要是:
(1) 用户登录日志:系统所有用户登录系统的所有动作将记录于此。
(2) 用户退出日志:系统所有用户退出系统的所有动作将记录于此。
(3) 配置修改日志:用户的系统配置操作内容都将被记录下。
(4) 其它操作:除用户登录日志、用户退出日志、配置修改日志外的其它操作日志。
实现归档数据的管理,包括四个方面的内容:归档参数配置、归档文件管理、回档数据挂载配置、日志保存周期设置。
点击[系统管理/数据归档],界面如下图所示:
图6-68 数据归档
以列表的形式展示归档的文件,还能手动对归档文件进行删除和下载。如下图所示:
图6-69 管理
在列表中勾选某个归档文件后,点击<删除>按钮,在弹出框中点击<确定>即可删除该归档文件。
图6-70 删除
在列表中选择一个归档文件,点击<下载>,如下图所示:
图6-71 下载
归档文件安全性设置,可对系统每日的归档文件设置密码加密,包含系统默认密码、自定义密码两种选择。默认为系统默认密码选项,用户可根据需要自由设置。
当前的归档密码设置,不会改变历史版本已产生的归档文件的加密密码,在历史数据回档客户端解压时,无需填写解压密码(系统默认密码)即可解压。
点击<设置>,如下图所示:
图6-72 归档密码设置
(1) 系统默认为系统默认密码选项,无需配置;
图6-73 系统默认密码
(2) 如需自定义加密密码,选择“自定义密码”,点击右侧出现的<密码配置>进入密码设置。首次设置自定义密码时无需输入旧密码,直接输入新密码并确认密码,点击<确定>即可。非首次设置自定义密码,将变为修改密码,需输入旧密码验证。
(3) 设置完成后,系统之后新生成的归档文件使用此密码加密,已生成的归档文件不会重新加密。
图6-74 配置自定义密码
图6-75 归档参数配置
该页面主要提供设置归档文件外传的各项参数以及功能的启用与停用。
· 是否外传归档文件:归档文件外传的设置,该功能默认不启用。各项参数如上图所示,其中外传归档文件的服务器类型可选FTP和硬盘共享两种方式,其它参数根据用户需求设置,确保实际可用。
· 外传归档文件管理:外传归档文件保留时间的设置,该功能默认不启用,勾选启用后,外传归档文件默认保留180天,用户可根据需求设置外传归档文件的保留时间。R6206P07版本开始,需要先启用外传归档文件功能,才可启用本功能,停用外传归档文件功能后本功能也自动停用。若升级至R6206P07版本前本功能已启用而外传归档文件功能未启用,则本功能不会自动停用。
正确填写各项参数后点击<保存配置>按钮即可,页面会提示保存配置成功。
目前系统默认每天凌晨两点执行归档操作,此外系统会根据设置审计记录和审计日志保留时间,自动删除原始数据以及过期日志操作。同时系统会根据外传归档文件管理的保留天数,删除服务器上超过设置时限以外的归档文件。
勾选是否外传归档文件以及外传文件管理并配置后,必须点击<保存配置>后,相关配置才会生效。
图6-76 回档数据挂载配置
此处可配置回档数据挂载功能,各项参数如上图。正确填写各项参数后点击<挂载>按钮即可,系统提示挂载结果。如需修改密码,请先勾选<修改密码>。
图6-77 回档数据卸载配置
卸载回档数据,即不再从已配置的服务器读取回档数据。点击<卸载>按钮,系统提示卸载结果。
图6-78 回档数据卸载配置
该页面主要提供设置审计记录与审计日志保留时间的各项参数以及功能的启用与停用,“是否指定保留时间”项默认勾选,审计记录默认保存6个月,审计日志默认保留12个月,用户可根据需求设置审计记录与审计日志保留时间。
R6206P07及之前版本该功能默认不启用。此外,从R6206P07升级至R6206P08版本的设备,该功能的启用状态继承原有的设置。
高级功能主要介绍如何通过SYSLOG方式对外部设备或平台提供审计日志信息,用户可根据需求配置参数,系统即可提供SYSLOG数据支撑服务和如何通过API接口的方式对外部设备或平台提供审计日志信息,可根据需求授权API接口,系统即可提供API数据支撑服务。
SYSLOG配置页面的基础配置包含:服务器IP、端口、SQL语句长度、数据类型以及编码策略。
如下图所示:
图7-1 基础配置
基础配置信息:
l 服务器IP为接收日志信息的SYSLOG服务器的IP地址;
l 端口为服务器通讯端口,一般为1~65535的正整数,SYSLOG默认端口为514;
l SQL语句长度为通过SYSLOG可发送的语句长度,最大支持512字节;
l 数据类型为系统可发送的数据分类,分为全部数据/告警数据日志发送两种。
l 编码策略可选UTF-8或GB2312,默认选择UTF-8
发送字段设置为数据库审计日志信息中的26个字段,包含:源IP、目标IP、源端口、目标端口、源MAC地址、目标MAC地址、协议类型、数据库名、数据库用户名、操作方式、操作表名、操作内容、影响行数、执行时长、执行结果、错误码、语句大小、时间、业务系统、计算机名称、系统用户名、应用程序名称、风险级别、规则ID、规则名称、规则描述。
发送字段可根据需求配置,除网络类条件的字段必选外,其它字段均可自由设置。
图7-2 发送字段设置
使用admin帐号登录系统,点击[高级功能/数据支撑/API数据支撑]进入界面,选择时间范围、用户名、数据项、启用状态等查询条件后,点击<查询>按钮即可。如下图所示:
图7-3 API数据支撑
已通过接口注册之后的外部设备或平台会出现在查询结果列表中,选择其中一条,点击<设置授权>按钮,弹出[设置授权]对话框,管理员只需选择或填写启用状态、存储空间、过期小时数、调用频率、压缩密码、应用名称、企业名称、描述等配置项。如下图所示:
图7-4 API数据支撑-基本信息
配置项信息:
l 存储空间最大值为100g;
l 过期小时数最大值为4320小时;
l 调用频率最大值为500次/小时;
l 应用名称与企业名称只能由中文、字母、数字、下划线组成。
限制说明:
API数据支撑功能目前仅支持单用户授权模式,即同一时间内系统只能对一台外部设备或平台提供数据。
点击<业务系统列表>按钮,切换至[业务系统列表]。管理员根据需求勾选业务系统,此处的业务系统与[策略中心/监听配置/业务系统配置]页面中所有的业务系统一致。界面如下图所示:
图7-5 API数据支撑-业务系统列表
点击<数据列表>按钮,切换至[数据列表]。
数据列表为外部设备或平台可从审计系统获取的十种数据类型,分别为:
1) 导出事件表数据;
2) 导出业务系统流量表;
3) 系统负载表的数据;
4) 非数据库协议数据上传;
5) 导出在线会话信息;
6) 导出IDS表的数据;
7) 导出业务资产关联表;
8) 导出系统报表;
9) 历史明细数据;
10) SQL模板数据。
界面如下图所示。
图7-6 API数据支撑-数据列表
支持
