安恒明御数据库审计产品配置指南

1、安恒明御数据库审计产品配置指南技术创新，变革未来安恒数据库审计配置培训典型案例配置培训主要内容一、设备基本配置二、基本审计配置三、风险告警通知配置四、审计数据查看及分析五、其他常规配置六、排错平台使用一、设备基本配置1、硬件端口介绍2、网络配置a、串口线配置IPb、网线直连配置IP3、设备角色配置数据中心+探测器、数据中心、探测器三种角色配置4、分布式部署配置5、license导入1、硬件面板端口介绍设备管理端口(Admin)出厂默认IP:00Console口：通用串口管理端口电源指示灯HDD:硬盘指示灯流量采集口(流量镜像口）6Step 1 ：使用Console口登录使用串口线和USB转接线

2、DB的console口和PC的USB口。PC上超级终端设置：波特率：115200数据位：8奇偶校验：无停止位：1流量控制：无Step 2：使用用户名/密码 admin/Dbapp2013登录方法一：串口线登陆配置2、设备网络配置Step 3 ：选择1选项，按照提示依次输入IP地址、子网掩码、网关、DNS后，根据提示输入yes确认配置，然后系统自动重启网卡完成修改。8Step 1 ：用一根网线直连admin口使用5类线将笔记本直连到设备的admin口PC上网卡设置设置：IP地址：01子网掩码：Step 2：使用用户名/密码 admin/Dbapp2013方法二：通过直连管理口登陆配置Step 3

3、：接下来同串口线配置9Step 1 ：使用串口或者管理口进入串口程序，选择8(设备身份配置)，进入如右图所示界面：Step 2：选择1可以把设备的身份改为纯数据中心的角色。选择2可以把设备身份改为探测器角色。选择3可以把设备身份改为数据兼探测器角色。3、设备角色配置10Step 3 ：以把身份配置数据中心+探测器为例1、选择3，代表要将设备身份更改为：数据中心+探测器2、输入yes，进行确认3、输入本设备管理口的IP地址114、分布式部署配置数据中心12Step 1 ：先将一台设备配置好为数据中心。Step 2 ：然后修改其他的设备身份为探测器角色，同时探测器的数据中心IP修改为数据中心管理口

4、的IP地址。Step 3 ：保证数据中心和探测器之间网络是互通的。Step 4 : 在数据中心上添加对应的探测器，如下图所示：注意：填写对应探测器的管理口IP即可135、License导入二、基本审计配置1、添加探测器2、添加业务主机群3、开启审计引擎、挂载采集端口4、配置被审计服务器5、配置流量镜像6、部分数据库特殊配置 SQLserver 用户名审计配置151、添加探测器登陆系统，在探测器配置界面，如下图所示：探测器IP必填1、发送最大速率只针对分布式部署有效2、发送主目录和发送时间段一般不建议修改162、添加业务主机群选择相应的探测器，在业务主机群界面，单击“添加”，如下图所示：1、业务

5、主机群类型一旦选择之后不能修改173、开启审计引擎、挂载采集端口配置完业务主机群类型之后，要选择开启审计引擎，同时需要挂载采集端口，如下图所示：点击保存即可184、配置被审计服务器选择对应的业务主机群，点击“新增物理端口”按钮，如下图所示：被审计数据库细信息双向审计：指请求和返回都审计19配置完成物理端口后，选择将要挂载的物理端口，如下图所示：点击挂载至此，基本的审计就配置完成！205、配置流量镜像以cisco为例配置镜像，其他交换机可能稍微会有些不一样，具体请查看各个品牌交换机的配置手册。配置镜像源端口配置镜像目的端口配置流量镜像方向21配置服务器端口流量镜像一般注意以下几点：1、只需要把被

6、审计服务器的物理端口(对外提供服务)的流量镜像到我们审计设备即可，一般不建议把整个交换机的流量都镜像过来。2、镜像要主要是请求和返回，不能镜像错方向，一般建议选择both3、如果是虚拟化环境，如果DB和web之间的通信都是在虚拟机内部完成的，这种是不支持的！4、配置交换机镜像一般建议由客户方网管进行配置，避免因为对客户网络不熟悉导致的网络故障。226、其他数据库审计特殊配置由于SQL Server 2005 和2008 会话连接过程都是加密，针对用户名、客户端工具名、操作系统主机名等是没法通过旁路进行解密审计，目前针对这类需求研发，暂时通过在数据库审计上配置SQL Server数据库账号和密码

7、，获取目标数据库的session信息，以达到对用户名、客户端工具名等的审计。Step 1: 在SQL server 2005主机配置中增加用户名审计配置。三、风险告警通知配置1、全局审计策略配置 全审计和满足条件审计2、普通、特征规则配置 普通规则(高、中、低、关注、不审计)及特征规则3、告警通知策略配置 Syslog、Email、SNMP、短信、ftp告警通知配置4、规则白名单配置5、其他策略相关配置 源IP过滤、指定源IP审计、报文过滤241、全局审计策略配置a、全部审计：指系统无条件记录所有的访问记录b、满足条件审计：只审计满足指定策略的访问记录。2、普通、特征规则配置a、普通审计规则：

8、分DB审计规则和web审计规则b、内置特征库：只审计满足指定策略的访问记录。26DB审计规则配置a、新建规则组输入规则组名称，点击保存新建规则组27DB审计规则配置b、新建规则规则配置界面28Web审计规则配置a、新建规则组b、新建规则规则组配置29Web审计规则配置web规则详细配置界面30Web审计规则配置web审计规则样例31Web审计规则配置c、规则优先级配置同db审计的规则优先级，同级别排在最前面的优先级最高！d、快速加载规则也同db审计规则快速加载32特征规则库a、内置特征库规则，同时包含一些常见web攻击特征及db攻击特征的规则，这些规则只能禁用和启用，不能删除和创建！版本升级的

9、时候会更新特征规则！3、禁用和启用特征规则1、特征规则2、内置特征规则组333、告警通知配置a、告警通知发送策略配置配置那些告警行为需要通过不同的发送方式发送给管理员或者管理设备。b、告警通知发送方式配置Email、短信，其余syslog、snmp、ftp系统自身无需认证c、告警通知接收配置告警通知接收的目标配置(syslog、snmp、ftp)告警通知内容及发送的策略接收者Email、短信发送syslog、snmp、ftp发送4、规则白名单配置作用：属于具体某个规则，从告警规则的大集合中排除一些可能实际是合规的访问行为。分类：a、DB审计白名单b、Web审计白名单规则白名单列表规则已加载白名

10、单审计规则列表白名单配置354、规则白名单配置配置方式：分类：a、通过风险告警直接生成白名单b、在白名单策略直接配置白名单直接根据风险生成白名单规则，web和db相同364、规则白名单配置b、直接配置白名单(DB)在白名单配置直接新增白名单374、规则白名单配置b、直接配置白名单(web)在白名单配置直接新增白名单385、其他规则策略配置a、指定源IP地址审计b、源IP地址过滤c、报文过滤39a、指定源IP地址审计Step 1:指定源IP审计Step 2:新增Step 3:配置来源IP及保存40b、IP过滤Step 1:IP过滤Step 2:新增Step 3:配置IP及保存41c、报文过滤：只

11、能从审计记录中添加报文过滤，不支持手工定制过滤。根据去参数化后的SQL模板进行过滤直接生成过滤模板四、审计数据查看及分析1、审计数据查看2、告警数据查看及处理3、报表数据分析4、备份恢复数据查看 431、审计数据查看a、通过全文检索引擎进行检索满足条件的审计记录。44b、查看审计记录详细信息请求sql等信息客户端连接信息服务器信息45c、根据会话查看或回放审计记录462、告警数据查看及处理a、告警数据查看。473、告警数据查看及处理b、告警数据处理。Step 1Step 2:选择风险Step 3:处理所选Step 4：处理完成483、报表数据分析a、打开系统内置的报表。系统内置报表列表报表数据

12、分析49b、自定义报表Step 1: 自定义报表Step 2: 新增报表Step 3: 报表内容定义50c、报表自动发送五、其他常规配置及使用1、用户名、角色及安全配置2、数据备份及恢复配置3、三层审计配置4、堡垒关联配置5、镜像参数配置6、系统操作日志查看7、自动清理配置8、业务数据清除及恢复出厂设置521、用户名、角色及安全配置a、用户配置b、角色配置c、安全配置532、数据备份及恢复配置a、自动备份及恢复（针对审计数据）b、手工备份及恢复 （针对配置数据）3、三层审计配置/index.php?id=1select * from test where id =1 应用账号：jamm2010

13、DB账号：system优势：国内少数同时支持Agent和旁路学习两种三层关联算法的审计产品Agent方式支持java语言开发的三层B/S系统100%准确关联旁路学习方式最高支持80%关联率，70%-90%关联准确度支持自定义B/S用户名提取56a、三层审计自动建模及手工关联分析4、堡垒关联加密审计605、镜像模式配置镜像模式分：普通、trunk、混合三种，一般情况下如果镜像流量不高，建议直接使用混合，如果流量比较高，最好是按照实际情况配置。选择镜像参数，然后保存即可616、系统操作日志系统操作日志：也叫自身审计日志，主要是管理员及其他人员对数据库审计设备的所有访问记录。627、自动清理配置自动清理：系统自动的完成对审计数据进行管理，在这里是需要配置动态管理策略的阈值！638、业务数据清除及恢复出厂设置业务数据清理：只清除审计的业务数据，不删除配置。恢复出厂设置：删除所有配置及审计数据。六、故障排查平台使用1、一键检测2、镜像内容分析及抓包3、系统配置核对4、系统日志查看5、服务管理6、全文索引管理651、一键检测662、镜像内容分析及抓包Step 1:选择物理端口Step 2:根据过滤条件开始数据采集Step 3:流量分析和