安恒明御數(shù)據(jù)庫審計產(chǎn)品技術方案

1、安恒明御數(shù)據(jù)庫審計產(chǎn)品技術方案技術創(chuàng)新，變革未來安恒數(shù)據(jù)庫審計配置培訓典型案例數(shù)據(jù)庫審計基礎知識1、什么是數(shù)據(jù)庫審計?記錄數(shù)據(jù)庫操作行為日志的系統(tǒng)2、為什么要用數(shù)據(jù)庫審計?數(shù)據(jù)竊取篡改審計取證違規(guī)告警違規(guī)阻斷法律法規(guī)3、數(shù)據(jù)庫的風險都來自哪里?從風險攻擊的來源來看外部互聯(lián)網(wǎng)內部越權訪問10%90%外部數(shù)據(jù)威脅典型特征：以web門戶服務器為攻擊目標，利用獲取shell、提升系統(tǒng)權限并安裝木馬的方式攻陷服務器；在web服務器上安放木馬軟件，以此為跳板訪問內部核心數(shù)據(jù)庫，非法竊取數(shù)據(jù)；a、互聯(lián)網(wǎng)出口數(shù)據(jù)泄露風險b、內部數(shù)據(jù)泄露風險以內部數(shù)據(jù)威脅典型原因：安全域劃分不合理人員/賬號身份眾多濫用數(shù)據(jù)庫訪

2、問工具缺乏管理規(guī)程從風險造成的結果來看數(shù)據(jù)竊取售賣數(shù)據(jù)篡改刪除數(shù)據(jù)庫破壞4、數(shù)據(jù)庫審計能干什么?審計取證風險評估攻擊告警安全建議大數(shù)據(jù)挖掘發(fā)現(xiàn) 風險 保護 數(shù)據(jù)庫安全原始信息收集標準化審計信息審計信息篩選預警和報表通過交換機鏡像采集數(shù)據(jù)庫流量進行解析還原5、數(shù)據(jù)庫審計的原理是什么？6、數(shù)據(jù)庫審計的部署方式大型數(shù)據(jù)中心解決方案：采用分布式部署，根據(jù)業(yè)務系統(tǒng)、機房位置、流量等合理部署采集器；通過管理中心進行集中管理，規(guī)則和配置統(tǒng)一分發(fā)，統(tǒng)一生產(chǎn)報表等； 1、旁路分布式部署無需更改現(xiàn)有網(wǎng)絡無需修改應用配置無需安裝軟件不影響數(shù)據(jù)庫服務器性能和穩(wěn)定虛擬化環(huán)境解決方案：采用agent對數(shù)據(jù)進行采集，采集器

3、統(tǒng)一進行處理；不受制于虛擬化底層架構和業(yè)務系統(tǒng)架構； 2、虛擬化環(huán)境部署安裝agent支持linux、windows性能消耗在3-8%云環(huán)境解決方案：采用agent對數(shù)據(jù)進行采集，采集器統(tǒng)一進行處理；無縫與公有云對接，也支持云環(huán)境的分布式部署。 3、公有云環(huán)境 鏡像軟件部署 云主機內存、硬盤、cpu、帶寬均可自由配置 部署簡單快捷安恒數(shù)據(jù)庫審計配置培訓典型案例數(shù)據(jù)庫審計基礎知識配置培訓主要內容一、設備基本配置二、基本審計配置三、風險告警通知配置四、審計數(shù)據(jù)查看及分析五、其他常規(guī)配置六、排錯平臺使用一、設備基本配置1、硬件端口介紹2、網(wǎng)絡配置a、串口線配置IPb、網(wǎng)線直連配置IP3、設備角色配置

4、數(shù)據(jù)中心+探測器、數(shù)據(jù)中心、探測器三種角色配置4、分布式部署配置5、license導入1、硬件面板端口介紹設備管理端口(Admin)出廠默認IP:00Console口：通用串口管理端口電源指示燈HDD:硬盤指示燈流量采集口(流量鏡像口）19Step 1 ：使用Console口登錄使用串口線和USB轉接線DB的console口和PC的USB口。PC上超級終端設置：波特率：115200數(shù)據(jù)位：8奇偶校驗：無停止位：1流量控制：無Step 2：使用用戶名/密碼 admin/Dbapp2013登錄方法一：串口線登陸配置2、設備網(wǎng)絡配置Step 3 ：選擇1選項，按照提示依次輸入IP地址、子網(wǎng)掩碼、網(wǎng)關

5、、DNS后，根據(jù)提示輸入yes確認配置，然后系統(tǒng)自動重啟網(wǎng)卡完成修改。21Step 1 ：用一根網(wǎng)線直連admin口使用5類線將筆記本直連到設備的admin口PC上網(wǎng)卡設置設置：IP地址：01子網(wǎng)掩碼：Step 2：使用用戶名/密碼 admin/Dbapp2013方法二：通過直連管理口登陸配置Step 3：接下來同串口線配置22Step 1 ：使用串口或者管理口進入串口程序，選擇8(設備身份配置)，進入如右圖所示界面：Step 2：選擇1可以把設備的身份改為純數(shù)據(jù)中心的角色。選擇2可以把設備身份改為探測器角色。選擇3可以把設備身份改為數(shù)據(jù)兼探測器角色。3、設備角色配置23Step 3 ：以把身

6、份配置數(shù)據(jù)中心+探測器為例1、選擇3，代表要將設備身份更改為：數(shù)據(jù)中心+探測器2、輸入yes，進行確認3、輸入本設備管理口的IP地址244、分布式部署配置數(shù)據(jù)中心25Step 1 ：先將一臺設備配置好為數(shù)據(jù)中心。Step 2 ：然后修改其他的設備身份為探測器角色，同時探測器的數(shù)據(jù)中心IP修改為數(shù)據(jù)中心管理口的IP地址。Step 3 ：保證數(shù)據(jù)中心和探測器之間網(wǎng)絡是互通的。Step 4 : 在數(shù)據(jù)中心上添加對應的探測器，如下圖所示：注意：填寫對應探測器的管理口IP即可265、License導入二、基本審計配置1、添加探測器2、添加業(yè)務主機群3、開啟審計引擎、掛載采集端口4、配置被審計服務器5、配

7、置流量鏡像6、部分數(shù)據(jù)庫特殊配置 SQLserver 用戶名審計配置281、添加探測器登陸系統(tǒng)，在探測器配置界面，如下圖所示：探測器IP必填1、發(fā)送最大速率只針對分布式部署有效2、發(fā)送主目錄和發(fā)送時間段一般不建議修改292、添加業(yè)務主機群選擇相應的探測器，在業(yè)務主機群界面，單擊“添加”，如下圖所示：1、業(yè)務主機群類型一旦選擇之后不能修改303、開啟審計引擎、掛載采集端口配置完業(yè)務主機群類型之后，要選擇開啟審計引擎，同時需要掛載采集端口，如下圖所示：點擊保存即可314、配置被審計服務器選擇對應的業(yè)務主機群，點擊“新增物理端口”按鈕，如下圖所示：被審計數(shù)據(jù)庫細信息雙向審計：指請求和返回都審計32配

8、置完成物理端口后，選擇將要掛載的物理端口，如下圖所示：點擊掛載至此，基本的審計就配置完成！335、配置流量鏡像以cisco為例配置鏡像，其他交換機可能稍微會有些不一樣，具體請查看各個品牌交換機的配置手冊。配置鏡像源端口配置鏡像目的端口配置流量鏡像方向34配置服務器端口流量鏡像一般注意以下幾點：1、只需要把被審計服務器的物理端口(對外提供服務)的流量鏡像到我們審計設備即可，一般不建議把整個交換機的流量都鏡像過來。2、鏡像要主要是請求和返回，不能鏡像錯方向，一般建議選擇both3、如果是虛擬化環(huán)境，如果DB和web之間的通信都是在虛擬機內部完成的，這種是不支持的！4、配置交換機鏡像一般建議由客戶方

9、網(wǎng)管進行配置，避免因為對客戶網(wǎng)絡不熟悉導致的網(wǎng)絡故障。356、其他數(shù)據(jù)庫審計特殊配置由于SQL Server 2005 和2008 會話連接過程都是加密，針對用戶名、客戶端工具名、操作系統(tǒng)主機名等是沒法通過旁路進行解密審計，目前針對這類需求研發(fā)，暫時通過在數(shù)據(jù)庫審計上配置SQL Server數(shù)據(jù)庫賬號和密碼，獲取目標數(shù)據(jù)庫的session信息，以達到對用戶名、客戶端工具名等的審計。Step 1: 在SQL server 2005主機配置中增加用戶名審計配置。三、風險告警通知配置1、全局審計策略配置 全審計和滿足條件審計2、普通、特征規(guī)則配置 普通規(guī)則(高、中、低、關注、不審計)及特征規(guī)則3、告

10、警通知策略配置 Syslog、Email、SNMP、短信、ftp告警通知配置4、規(guī)則白名單配置5、其他策略相關配置 源IP過濾、指定源IP審計、報文過濾371、全局審計策略配置a、全部審計：指系統(tǒng)無條件記錄所有的訪問記錄b、滿足條件審計：只審計滿足指定策略的訪問記錄。2、普通、特征規(guī)則配置a、普通審計規(guī)則：分DB審計規(guī)則和web審計規(guī)則b、內置特征庫：只審計滿足指定策略的訪問記錄。39DB審計規(guī)則配置a、新建規(guī)則組輸入規(guī)則組名稱，點擊保存新建規(guī)則組40DB審計規(guī)則配置b、新建規(guī)則規(guī)則配置界面41Web審計規(guī)則配置a、新建規(guī)則組b、新建規(guī)則規(guī)則組配置42Web審計規(guī)則配置web規(guī)則詳細配置界面4

11、3Web審計規(guī)則配置web審計規(guī)則樣例44Web審計規(guī)則配置c、規(guī)則優(yōu)先級配置同db審計的規(guī)則優(yōu)先級，同級別排在最前面的優(yōu)先級最高！d、快速加載規(guī)則也同db審計規(guī)則快速加載45特征規(guī)則庫a、內置特征庫規(guī)則，同時包含一些常見web攻擊特征及db攻擊特征的規(guī)則，這些規(guī)則只能禁用和啟用，不能刪除和創(chuàng)建！版本升級的時候會更新特征規(guī)則！3、禁用和啟用特征規(guī)則1、特征規(guī)則2、內置特征規(guī)則組463、告警通知配置a、告警通知發(fā)送策略配置配置那些告警行為需要通過不同的發(fā)送方式發(fā)送給管理員或者管理設備。b、告警通知發(fā)送方式配置Email、短信，其余syslog、snmp、ftp系統(tǒng)自身無需認證c、告警通知接收配置

12、告警通知接收的目標配置(syslog、snmp、ftp)告警通知內容及發(fā)送的策略接收者Email、短信發(fā)送syslog、snmp、ftp發(fā)送4、規(guī)則白名單配置作用：屬于具體某個規(guī)則，從告警規(guī)則的大集合中排除一些可能實際是合規(guī)的訪問行為。分類：a、DB審計白名單b、Web審計白名單規(guī)則白名單列表規(guī)則已加載白名單審計規(guī)則列表白名單配置484、規(guī)則白名單配置配置方式：分類：a、通過風險告警直接生成白名單b、在白名單策略直接配置白名單直接根據(jù)風險生成白名單規(guī)則，web和db相同494、規(guī)則白名單配置b、直接配置白名單(DB)在白名單配置直接新增白名單504、規(guī)則白名單配置b、直接配置白名單(web)在

13、白名單配置直接新增白名單515、其他規(guī)則策略配置a、指定源IP地址審計b、源IP地址過濾c、報文過濾52a、指定源IP地址審計Step 1:指定源IP審計Step 2:新增Step 3:配置來源IP及保存53b、IP過濾Step 1:IP過濾Step 2:新增Step 3:配置IP及保存54c、報文過濾：只能從審計記錄中添加報文過濾，不支持手工定制過濾。根據(jù)去參數(shù)化后的SQL模板進行過濾直接生成過濾模板四、審計數(shù)據(jù)查看及分析1、審計數(shù)據(jù)查看2、告警數(shù)據(jù)查看及處理3、報表數(shù)據(jù)分析4、備份恢復數(shù)據(jù)查看 561、審計數(shù)據(jù)查看a、通過全文檢索引擎進行檢索滿足條件的審計記錄。57b、查看審計記錄詳細信息

14、請求sql等信息客戶端連接信息服務器信息58c、根據(jù)會話查看或回放審計記錄592、告警數(shù)據(jù)查看及處理a、告警數(shù)據(jù)查看。603、告警數(shù)據(jù)查看及處理b、告警數(shù)據(jù)處理。Step 1Step 2:選擇風險Step 3:處理所選Step 4：處理完成613、報表數(shù)據(jù)分析a、打開系統(tǒng)內置的報表。系統(tǒng)內置報表列表報表數(shù)據(jù)分析62b、自定義報表Step 1: 自定義報表Step 2: 新增報表Step 3: 報表內容定義63c、報表自動發(fā)送五、其他常規(guī)配置及使用1、用戶名、角色及安全配置2、數(shù)據(jù)備份及恢復配置3、三層審計配置4、堡壘關聯(lián)配置5、鏡像參數(shù)配置6、系統(tǒng)操作日志查看7、自動清理配置8、業(yè)務數(shù)據(jù)清除及

15、恢復出廠設置651、用戶名、角色及安全配置a、用戶配置b、角色配置c、安全配置662、數(shù)據(jù)備份及恢復配置a、自動備份及恢復（針對審計數(shù)據(jù)）b、手工備份及恢復 （針對配置數(shù)據(jù)）3、三層審計配置/index.php?id=1select * from test where id =1 應用賬號：jamm2010DB賬號：system優(yōu)勢：國內少數(shù)同時支持Agent和旁路學習兩種三層關聯(lián)算法的審計產(chǎn)品Agent方式支持java語言開發(fā)的三層B/S系統(tǒng)100%準確關聯(lián)旁路學習方式最高支持80%關聯(lián)率，70%-90%關聯(lián)準確度支持自定義B/S用戶名提取69a、三層審計自動建模及手工關聯(lián)分析4、堡壘關聯(lián)加

16、密審計735、鏡像模式配置鏡像模式分：普通、trunk、混合三種，一般情況下如果鏡像流量不高，建議直接使用混合，如果流量比較高，最好是按照實際情況配置。選擇鏡像參數(shù)，然后保存即可746、系統(tǒng)操作日志系統(tǒng)操作日志：也叫自身審計日志，主要是管理員及其他人員對數(shù)據(jù)庫審計設備的所有訪問記錄。757、自動清理配置自動清理：系統(tǒng)自動的完成對審計數(shù)據(jù)進行管理，在這里是需要配置動態(tài)管理策略的閾值！768、業(yè)務數(shù)據(jù)清除及恢復出廠設置業(yè)務數(shù)據(jù)清理：只清除審計的業(yè)務數(shù)據(jù)，不刪除配置?；謴统鰪S設置：刪除所有配置及審計數(shù)據(jù)。六、故障排查平臺使用1、一鍵檢測2、鏡像內容分析及抓包3、系統(tǒng)配置核對4、系統(tǒng)日志查看5、服務管理6、全文索引管理781、一鍵檢測792、鏡像內容分析及抓包Step 1:選擇物理端口St