安恒明御数据库审计产品技术方案

1、安恒明御数据库审计产品技术方案技术创新，变革未来安恒数据库审计配置培训典型案例数据库审计基础知识1、什么是数据库审计?记录数据库操作行为日志的系统2、为什么要用数据库审计?数据窃取篡改审计取证违规告警违规阻断法律法规3、数据库的风险都来自哪里?从风险攻击的来源来看外部互联网内部越权访问10%90%外部数据威胁典型特征：以web门户服务器为攻击目标，利用获取shell、提升系统权限并安装木马的方式攻陷服务器；在web服务器上安放木马软件，以此为跳板访问内部核心数据库，非法窃取数据；a、互联网出口数据泄露风险b、内部数据泄露风险以内部数据威胁典型原因：安全域划分不合理人员/账号身份众多滥用数据库访

2、问工具缺乏管理规程从风险造成的结果来看数据窃取售卖数据篡改删除数据库破坏4、数据库审计能干什么?审计取证风险评估攻击告警安全建议大数据挖掘发现 风险 保护 数据库安全原始信息收集标准化审计信息审计信息筛选预警和报表通过交换机镜像采集数据库流量进行解析还原5、数据库审计的原理是什么？6、数据库审计的部署方式大型数据中心解决方案：采用分布式部署，根据业务系统、机房位置、流量等合理部署采集器；通过管理中心进行集中管理，规则和配置统一分发，统一生产报表等； 1、旁路分布式部署无需更改现有网络无需修改应用配置无需安装软件不影响数据库服务器性能和稳定虚拟化环境解决方案：采用agent对数据进行采集，采集器

3、统一进行处理；不受制于虚拟化底层架构和业务系统架构； 2、虚拟化环境部署安装agent支持linux、windows性能消耗在3-8%云环境解决方案：采用agent对数据进行采集，采集器统一进行处理；无缝与公有云对接，也支持云环境的分布式部署。 3、公有云环境 镜像软件部署 云主机内存、硬盘、cpu、带宽均可自由配置 部署简单快捷安恒数据库审计配置培训典型案例数据库审计基础知识配置培训主要内容一、设备基本配置二、基本审计配置三、风险告警通知配置四、审计数据查看及分析五、其他常规配置六、排错平台使用一、设备基本配置1、硬件端口介绍2、网络配置a、串口线配置IPb、网线直连配置IP3、设备角色配置

4、数据中心+探测器、数据中心、探测器三种角色配置4、分布式部署配置5、license导入1、硬件面板端口介绍设备管理端口(Admin)出厂默认IP:00Console口：通用串口管理端口电源指示灯HDD:硬盘指示灯流量采集口(流量镜像口）19Step 1 ：使用Console口登录使用串口线和USB转接线DB的console口和PC的USB口。PC上超级终端设置：波特率：115200数据位：8奇偶校验：无停止位：1流量控制：无Step 2：使用用户名/密码 admin/Dbapp2013登录方法一：串口线登陆配置2、设备网络配置Step 3 ：选择1选项，按照提示依次输入IP地址、子网掩码、网关

5、、DNS后，根据提示输入yes确认配置，然后系统自动重启网卡完成修改。21Step 1 ：用一根网线直连admin口使用5类线将笔记本直连到设备的admin口PC上网卡设置设置：IP地址：01子网掩码：Step 2：使用用户名/密码 admin/Dbapp2013方法二：通过直连管理口登陆配置Step 3：接下来同串口线配置22Step 1 ：使用串口或者管理口进入串口程序，选择8(设备身份配置)，进入如右图所示界面：Step 2：选择1可以把设备的身份改为纯数据中心的角色。选择2可以把设备身份改为探测器角色。选择3可以把设备身份改为数据兼探测器角色。3、设备角色配置23Step 3 ：以把身

6、份配置数据中心+探测器为例1、选择3，代表要将设备身份更改为：数据中心+探测器2、输入yes，进行确认3、输入本设备管理口的IP地址244、分布式部署配置数据中心25Step 1 ：先将一台设备配置好为数据中心。Step 2 ：然后修改其他的设备身份为探测器角色，同时探测器的数据中心IP修改为数据中心管理口的IP地址。Step 3 ：保证数据中心和探测器之间网络是互通的。Step 4 : 在数据中心上添加对应的探测器，如下图所示：注意：填写对应探测器的管理口IP即可265、License导入二、基本审计配置1、添加探测器2、添加业务主机群3、开启审计引擎、挂载采集端口4、配置被审计服务器5、配

7、置流量镜像6、部分数据库特殊配置 SQLserver 用户名审计配置281、添加探测器登陆系统，在探测器配置界面，如下图所示：探测器IP必填1、发送最大速率只针对分布式部署有效2、发送主目录和发送时间段一般不建议修改292、添加业务主机群选择相应的探测器，在业务主机群界面，单击“添加”，如下图所示：1、业务主机群类型一旦选择之后不能修改303、开启审计引擎、挂载采集端口配置完业务主机群类型之后，要选择开启审计引擎，同时需要挂载采集端口，如下图所示：点击保存即可314、配置被审计服务器选择对应的业务主机群，点击“新增物理端口”按钮，如下图所示：被审计数据库细信息双向审计：指请求和返回都审计32配

8、置完成物理端口后，选择将要挂载的物理端口，如下图所示：点击挂载至此，基本的审计就配置完成！335、配置流量镜像以cisco为例配置镜像，其他交换机可能稍微会有些不一样，具体请查看各个品牌交换机的配置手册。配置镜像源端口配置镜像目的端口配置流量镜像方向34配置服务器端口流量镜像一般注意以下几点：1、只需要把被审计服务器的物理端口(对外提供服务)的流量镜像到我们审计设备即可，一般不建议把整个交换机的流量都镜像过来。2、镜像要主要是请求和返回，不能镜像错方向，一般建议选择both3、如果是虚拟化环境，如果DB和web之间的通信都是在虚拟机内部完成的，这种是不支持的！4、配置交换机镜像一般建议由客户方

9、网管进行配置，避免因为对客户网络不熟悉导致的网络故障。356、其他数据库审计特殊配置由于SQL Server 2005 和2008 会话连接过程都是加密，针对用户名、客户端工具名、操作系统主机名等是没法通过旁路进行解密审计，目前针对这类需求研发，暂时通过在数据库审计上配置SQL Server数据库账号和密码，获取目标数据库的session信息，以达到对用户名、客户端工具名等的审计。Step 1: 在SQL server 2005主机配置中增加用户名审计配置。三、风险告警通知配置1、全局审计策略配置 全审计和满足条件审计2、普通、特征规则配置 普通规则(高、中、低、关注、不审计)及特征规则3、告

10、警通知策略配置 Syslog、Email、SNMP、短信、ftp告警通知配置4、规则白名单配置5、其他策略相关配置 源IP过滤、指定源IP审计、报文过滤371、全局审计策略配置a、全部审计：指系统无条件记录所有的访问记录b、满足条件审计：只审计满足指定策略的访问记录。2、普通、特征规则配置a、普通审计规则：分DB审计规则和web审计规则b、内置特征库：只审计满足指定策略的访问记录。39DB审计规则配置a、新建规则组输入规则组名称，点击保存新建规则组40DB审计规则配置b、新建规则规则配置界面41Web审计规则配置a、新建规则组b、新建规则规则组配置42Web审计规则配置web规则详细配置界面4

11、3Web审计规则配置web审计规则样例44Web审计规则配置c、规则优先级配置同db审计的规则优先级，同级别排在最前面的优先级最高！d、快速加载规则也同db审计规则快速加载45特征规则库a、内置特征库规则，同时包含一些常见web攻击特征及db攻击特征的规则，这些规则只能禁用和启用，不能删除和创建！版本升级的时候会更新特征规则！3、禁用和启用特征规则1、特征规则2、内置特征规则组463、告警通知配置a、告警通知发送策略配置配置那些告警行为需要通过不同的发送方式发送给管理员或者管理设备。b、告警通知发送方式配置Email、短信，其余syslog、snmp、ftp系统自身无需认证c、告警通知接收配置

12、告警通知接收的目标配置(syslog、snmp、ftp)告警通知内容及发送的策略接收者Email、短信发送syslog、snmp、ftp发送4、规则白名单配置作用：属于具体某个规则，从告警规则的大集合中排除一些可能实际是合规的访问行为。分类：a、DB审计白名单b、Web审计白名单规则白名单列表规则已加载白名单审计规则列表白名单配置484、规则白名单配置配置方式：分类：a、通过风险告警直接生成白名单b、在白名单策略直接配置白名单直接根据风险生成白名单规则，web和db相同494、规则白名单配置b、直接配置白名单(DB)在白名单配置直接新增白名单504、规则白名单配置b、直接配置白名单(web)在

13、白名单配置直接新增白名单515、其他规则策略配置a、指定源IP地址审计b、源IP地址过滤c、报文过滤52a、指定源IP地址审计Step 1:指定源IP审计Step 2:新增Step 3:配置来源IP及保存53b、IP过滤Step 1:IP过滤Step 2:新增Step 3:配置IP及保存54c、报文过滤：只能从审计记录中添加报文过滤，不支持手工定制过滤。根据去参数化后的SQL模板进行过滤直接生成过滤模板四、审计数据查看及分析1、审计数据查看2、告警数据查看及处理3、报表数据分析4、备份恢复数据查看 561、审计数据查看a、通过全文检索引擎进行检索满足条件的审计记录。57b、查看审计记录详细信息

14、请求sql等信息客户端连接信息服务器信息58c、根据会话查看或回放审计记录592、告警数据查看及处理a、告警数据查看。603、告警数据查看及处理b、告警数据处理。Step 1Step 2:选择风险Step 3:处理所选Step 4：处理完成613、报表数据分析a、打开系统内置的报表。系统内置报表列表报表数据分析62b、自定义报表Step 1: 自定义报表Step 2: 新增报表Step 3: 报表内容定义63c、报表自动发送五、其他常规配置及使用1、用户名、角色及安全配置2、数据备份及恢复配置3、三层审计配置4、堡垒关联配置5、镜像参数配置6、系统操作日志查看7、自动清理配置8、业务数据清除及

15、恢复出厂设置651、用户名、角色及安全配置a、用户配置b、角色配置c、安全配置662、数据备份及恢复配置a、自动备份及恢复（针对审计数据）b、手工备份及恢复 （针对配置数据）3、三层审计配置/index.php?id=1select * from test where id =1 应用账号：jamm2010DB账号：system优势：国内少数同时支持Agent和旁路学习两种三层关联算法的审计产品Agent方式支持java语言开发的三层B/S系统100%准确关联旁路学习方式最高支持80%关联率，70%-90%关联准确度支持自定义B/S用户名提取69a、三层审计自动建模及手工关联分析4、堡垒关联加

16、密审计735、镜像模式配置镜像模式分：普通、trunk、混合三种，一般情况下如果镜像流量不高，建议直接使用混合，如果流量比较高，最好是按照实际情况配置。选择镜像参数，然后保存即可746、系统操作日志系统操作日志：也叫自身审计日志，主要是管理员及其他人员对数据库审计设备的所有访问记录。757、自动清理配置自动清理：系统自动的完成对审计数据进行管理，在这里是需要配置动态管理策略的阈值！768、业务数据清除及恢复出厂设置业务数据清理：只清除审计的业务数据，不删除配置。恢复出厂设置：删除所有配置及审计数据。六、故障排查平台使用1、一键检测2、镜像内容分析及抓包3、系统配置核对4、系统日志查看5、服务管理6、全文索引管理781、一键检测792、镜像内容分析及抓包Step 1:选择物理端口St