自定义策略包括SQL策略、包过滤策略、客户端语句过滤白名单。
系统已经内置策略组和策略,您可以根据需求添加自定义的SQL策略。
自定义策略包含功能如下:
•支持对缺省数据库策略组进行编辑和删除操作。
•支持对自定义策略组进行添加、编辑和删除操作。
•支持对策略组的规则进行添加、删除、编辑、上移、下移操作。
•可根据自身业务场景对资产信息、目标信息、访问信息进行策略配置。
• 操作步骤
参数 | 说明 |
名称 | 自定义策略组名称。 |
基于 | 可选新建或基于: •新建:创建一个空白策略组。 •基于:选择其他策略组(例如缺省MySQL策略)做为模板,在其基础上进行编辑。 |
添加图标。
参数 | 说明 |
名称 | 自定义策略名称。 |
类型 | 可选择默认、优先级、白名单和黑名单四种类型: •黑名单:访问阻断。 •白名单:访问通过。 •优先级:策略匹配先于默认类型,默认访问通过,可自行修改。 •默认:默认访问通过,可自行修改。 策略类型的优先级顺序为黑名单 > 白名单 > 优先级 > 默认。同一个类型则按顺序执行,有阻断则阻断。 |
展开图标,查看策略。
参数 | 说明 |
命中策略后记录结果集 | 开启后命中策略就会记录结果集。 |
基本信息 | |
风险等级 | 命中策略告警的级别。 |
响应动作 | 命中策略动作设置阻断或通过。 |
记录日志 | 命中策略是否记录日志。 |
敏感数据访问不脱敏 | 命中策略是否访问敏感数据时不脱敏。 |
锁定访问 | 响应动作为阻断时,可选择是否根据IP或用户锁定访问。 |
资产信息(源) | |
资产客户端IP | 数据库客户端的IP。 |
主机名 | 数据库客户端的主机名。 |
操作系统用户 | 数据库客户端的操作系统用户名。 |
数据库用户 | 数据库客户端的访问数据库资产使用的用户名。 |
数据库用户组 | 数据库客户端的访问数据库资产使用的用户组。 |
资产客户端 | 数据库客户端工具。 |
资产客户端MAC | 数据库客户端工具所在PC的MAC。 |
应用客户端IP | 三层防护,应用端的IP。 |
应用用户组 | 三层防护,应用端的用户组。 |
时间组 | 时间段组 。 |
应用用户 | 三层防护,应用用户。 |
目标信息 | |
目标表 | 访问资产的表。 |
数据库 | 数据库。 例如MySQL数据库中的test模式,可以表示为mySQL.test。 |
影响行数 | 访问资产影响行数。 |
关联表个数 | 查询表个数。 |
字段 | 查询资产表的字段。 |
表组 | 查询的表组。 |
访问信息 | |
访问次数 | 数据库客户端访问资产的次数。 |
执行时长 | 执行语句的时长。 |
请求状态 | 客户端请求的状态。 |
存储过程 | 访问的存储过程。 |
操作命令 | 客户端执行的命令类型。 |
特权操作 | 客户端特权操作。 |
查询组 | 查询语句组。 |
SQL字符串 | 客户端执行的SQL字符串。 |
操作语句 | 客户端执行的操作语句。 |
SQL十六进制序列 | 客户端执行的SQL十六进制序列。 |
执行结果关键字 | 结果集关键字。 |
时间选择 | 策略执行的时间控制。 |
在策略详情中可以从多个维度设置策略信息,包括策略基本信息、资产信息、目标信息、访问信息和时间等。
例如,您可以如上图设置,表示禁止root用户访问数据资产。
或者
进行上移或者下移。
说明: 策略优先级顺序为黑名单 > 白名单 > 优先级 > 默认,同一类型的越上面,优先级越高。仅支持同一种类型之间进行上、下移动。
编辑图标,勾选目标策略组,单击确定。更多信息,请参见管理基本配置。
除了新增操作外,系统还支持对策略组和策略进行以下管理操作:
•策略组:
–编辑策略组:鼠标移动到策略组,单击,修改策略组名称。
–删除策略组:鼠标移动到策略组,单击
,删除策略组。
–复制策略组:鼠标移动到策略组,单击
,复制整个策略组。
–导出策略组:在策略组列表,单击导出,设置文件名称并勾选需要导出的策略组名称,将策略组保存到本地。
–导入策略组:在策略组列表,单击导入,在本地选择已导出的策略组文件。
•策略:
–编辑策略信息:单击策略名称,修改策略信息。
–编辑策略:鼠标移动到策略,单击,修改策略名称。
–复制策略:鼠标移动到策略,单击,复制整个策略。
–删除策略:鼠标移动到策略,单击,删除策略。
根据网络数据包的五元组(源IP、源端口、目的IP、目的端口、协议)与配置规则进行匹配,根据匹配规则的操作,进行数据包的放行或阻断。
• 操作步骤
参数 | 说明 |
协议 | 可选择TCP、UDP、ICMP协议。 |
响应动作 | 包括放行和阻断。 |
源IP | 数据包发送端IP。 |
源端口 | 数据包发送端端口(ICMP协议下,此端口可不填)。 |
目的IP | 数据包接收端IP。 |
目的端口 | 数据包接收端端口(ICMP协议下,此端口不填)。 |
注意: 如果选择TCP协议,则源IP、源端口、目的IP和目的端口必填一项,再单击保存。如果不填写直接保存的话,会造成无法访问Web页面、无法连接SSH等问题。
–放行:如果访问命中开启的策略,默认通过;若策略定义里的响应动作为阻断,则阻断。
–阻断:如果访问命中开启的策略,则直接阻断。
除了新增操作外,系统还支持对策略进行以下管理操作:
•编辑策略:鼠标移动到策略,单击,修改策略名称。
•删除策略:鼠标移动到策略,单击,删除策略。
策略在创建时默认为启用状态,您可以根据实际情况启用或者禁用。
• 操作步骤
图标,展开策略。•上图中,①部分策略为禁用状态,单击后可以启用策略。
•上图中,②部分策略为启用状态,单击后可以禁用策略。
图标。
在客户端操作SQL语句时,会固定产生一些不需要记录的语句。这些语句可能会干扰您识别正常的SQL操作语句。通过添加客户端语句过滤白名单,审计日志将不记录这些客户端语句,避免因匹配到特定策略后产生误报。
• 操作步骤
参数 | 说明 |
SQL | 需要添加白名单的SQL语句。 |
工具 | 数据库客户端。 |
数据库 | 数据库类型。 |
状态 | 在下拉栏中选择启用或禁用,默认启用。 |
。更多信息,请参见管理基本配置。
数据库客户端访问资产时,如果规则命中SQL语句,那么在审计日志 > SQL日志页面的审计日志列表里不记录此日志。
建议使用Chrome浏览器访问!
