360数据库审计快速安装手册

1、网神SecFox安全审计系统快速安装操作手册1 安装设备 设备监听口连接到交换机的镜像口上设备的管理口连接到网络中。2 访问设备 设备初始信息： IP： 10.0.0.1 MASK： 255.255.0.0 用户名：sysadmin/secadmin/aud it admin 密码：！ 1fw2soc#3vpn 设备访问方式：网络中访问设备的地址，在IE地址栏中输入:https:/IP,出现登录界面即表示配置成功通过ssh客户端登录系统，修改为网络中可访问的地址信息3 修改管理 IP通过网线连接设备管理口，用sysadmin帐号登录设备基本配置管理口配置，根据客户现场提供的管理 IP 进行相关配置，点击提交即可：4 添加审计对象（需要监控的服务器）跟客户沟通了解现场所需监控服务器IP、详细版本及端口号等信息；之后用secadmin帐号登录系统配置对应审计对象对象设置审计对象添加：5 修改审计控制设备出厂默认是按规则审计，设备上架调试阶段需先修改为全审计：用secadmin帐号登录系统全局参数设置审计控制选择全部审计点击保存即可：全部审计：所有访问数据库服务器的数据均审计入库，在前台可以

2、查看所有操作的审计记录按规则审计：只审计匹配规则的访问数据库服务器信息，未匹配 规则的数据不审计入库，前台查询记录中只有匹配规则的数据6 查看审计数据通过以上步骤，基本配置已完成，可以通过auditadmin账号登录系统查看当前的审计数据；登陆auditadmin审计管理日常行为查询，点击查询后即可看到审计数据了：岂!；31河nd拒旨比町訓儿旨血曲耳珀牛旨31ISg口舟IKi田刖Jf目应巨用*尸芳:姻HIHi備輕i药山呦B|询诞19Q 1R.1D15Z1ondEDiM1TM-1dplMklW.flif州M更ITddQMEms5+81521and5SIT-IM-i-tpKqKifiMjftiAMgjq；aaCjUiau1H.1M.W.15Z1a rdEW1M17-MI4.plrqklev.QiE-汨口眄ddO.MBrTE：卡st总IM 1KI W1QZ1and的M17-W-14piWw.4ddQDQMw*1啦*1总101521ordaiT-twi-i-ipaqidftvamEiaiX4;aaDb25nu+W15Q 阖 ID1册qEM17-W-1-4.piwkiwfld4QDQ沁5*819

3、QW15Z1orti.瀚2fl1T-H-14plwkiev.4ddQDQ沁*1 胆 *! W1S21ardM17-M-1-I卩闊昭齡血百州 gip；an毗沁19QW15Z1oEEDIM17-W-14pinkiw咽M更ITddODans5+815Q 1I W15Z1and盅由M17-W-14piMklev.flif宜irddQDQQm?iD2.ifid.iQ.1521and5aiT-iM-i-tpKK|KlAmdGEHinu茴*.AbMnt.g: IffZ. lW. I.a IBTcGsHCP fCfFJfi詳用户呂匚JJaanLEtT就n61H： MIHMrLt LTiIBi主債缶 LI3HUEEI：-tiffi阪血地址 I Ki：Ftal=n：K:LO电 Igl pLzqdrAiEfl*-P駅曇蚀M謝ll QtED:4：=F;H:41rJiiM frwri y$suox wh tid - M d（h 诚 盃gc巧i：PA - J）警lEiSm7 规则配置现场根据客户需求进行相关风险规则设置，了解客户应用系统厂商，与客户沟通，需监控哪些关键表，字段信息和重点操作；7.1 规则实例解析配

4、置流程实例解析假定需要监控的数据库服务器上数据库中：涉及的表有：staff_dict （医院人员表）、outp_bill_item （门诊费用记录表）；上述表中涉及的字段有:name （医生姓名）、ordered_by_doctor （开 单医生）、item_name （项目名称）、item_price （项目价格）； 也就是但一条语句中同时满足这几张表和字段时进行告警。需求如下：1）对上述2张表和4个字段，应用服务器（192.168.1.23）访问的可以不审计，监控selec t查询操作；2）对上述2张表和4个字段， 192.168.2.0-192.168.2.200网段客户端访问的告警，风险级别为中风险，监控selec t查询操作；3）对上述2张表和4个字段，如果是plsql工具操作的告警，风险级别为高风险，监控selec t查询操作；4）针对所有表、字段，监控delete、drop、truncate删除操作。Delete 操作风险级别为低风险，drop和truncate操作风险级别为高风险。 根据上述的需求，接下来配置规则（以下配置均在secadmin帐号下完 成）：7.1.1

5、审计对象别名配置点击“全局参数配置”-“审计对象别名”，打开“审计对象别名”配置界面，点击“添加”，对敏感表、字段设置一个别名，系统可以 将表、字段和关键字来配置别名，设置关键字的目的是因为数据库语 句中有些英文字符既不是表，也不是字段，这个时候如果要设置别名， 就可以通过关键字来定义。7.1.2 访问者别名配置点击“全局参数配置”-“访问者别名”，打开“访问者别名”配置界面，访问者别名设置，将IP地址翻译成中文，方便在审计结果中直观的看到是谁操作了数据库。7.1.3 进程配置点击“访问者信息配置”-“进程配置”，打开“进程配置”界面添加进程集合，进程集合名可以自定义，这里配置为“第三方工具”，然后点“客户端进程”的下拉选项，选择“plsqldev.exe”，最后点“添加”按钮。一个集合中可以添加多个进程。7.14 IP监控配置点击“访问者信息配置” -“IP监控”，打开“IP监控”配置界面,曾章曲=存*賞幅商对筋曲 asix-eiW !E 號fiDt 述：lP2；lx聲耀隔M间子iSr+ft先添加应用服务器IP，选择“来访客户IP”，输入应用服务器的IP 地址“192.168.1.2

6、3”，点“添加”，再点“保存”继续添加上面需求中提到的IP网段，192.168.2.0-192.168.2.200,类型选择“来访客户网段”，把起始IP和终止IP输入后，点击添加, 保存即可。7.1.5 子对象配置点击“对象配置” -“子对象”，打开“子对象”配置界面，根据需求中提到的2张表和4个字段，同时满足时告警，他们之间是与（&）的关系，可以在子对象中进行设置。如下图所示，多张表或字段用“&”符合隔开，点击保存即可,7.1.6 规则配置点击“规则配置”-“规则管理”，打开“规则管理”界面， 针对上述需求：1) 对上述2张表和4个字段，应用服务器(192.168.1.100)访问的可以不审计，监控selec t查询操作如下图红框标注的，添加规则名，选择级别为“高级白名单”，操作类型选择“select”，接着在子对象和客户端IP集中选择第二步和第三步添加的集合。最后保存设置。0; M觑工吐U :可u j訂门圧吐:j W,|- W：播作系魏主机宅:佝：517:氏怜住孟I x添加规则1,级别不审计韦别二扪一3申WP：u 丰.s |涎严”m，卫：顾准迪1寸目 imsttp：VV-?-V-I

7、2）对上述2张表和4个字段，192.168.2.0-192.168.2.200网段客户端 访问的告警，风险级别为中风险，监控selec t查询操作 添加规则方式同需求1，添加规则名“192.168.2.0网段操作”，设置 风险级别“中风险”，选择操作类型“select”，然后调用之前配置的子对象和IP集合，最后保存设置。如下图所示,添加规则2，级别中3）对上述2张表和4个字段，如果是plsql工具操作的告警，风险级别为高风险，监控selec t查询操作配置方法同上，添加规则3，级别高4）针对所有表、字段，监控delete、drop、truncate删除操作。delete操作风险级别为低风险，drop和truncate操作风险级别为高风险7.1.7 规则组配置点击“规则配置”-“规则组管理”，打开“规则组管理”界面，配置规则组是要将双面配置的规则统一加到一个组中管理起来，如下图，先创建一个规则组，输入规则组名，然后保存即可，添加规则组界面保存后，双击新建的规则组，把规则加到组中管理，如下图，左边一 栏是未选中的规则，右边是已选择规则，将左边规则按着鼠标拖到右边即可统一管理，规则组管理7.1.8 规则应用到审计对象打开“对象设置”-“审计对象”，打开“审计对象”界面，选择对应的数据库，点击“应用规则组”，然后选择“某客户规则组”，点击“保存”按钮即可，应用部门:审+财箱OracleLP2.1SBE ZOQ右即打哟:护屈S5HS卩口-曰+茎刃应g却逹R例总 U卩巧氓户即捋权管宙hf卩 r为慣珅沖、寻级悅护回5超I据库优冯宜更 ldCW-土啡鞠咗言弔 nsoHtFrr 鬥各阶丰1厂菲恃勺旨:旦皆乍 PC1登示审-，一 兀1莓亍匕登出耳计_匡卩口-肓卄乏矽無打鹽佗已0ddL帅:爼将规则应用到审计对象w网神 SECWORLD快速安装操作手册至此，一个完整的规则配置就完成了。

《360数据库审计快速安装手册》由会员cn****1分享，可在线阅读，更多相关《360数据库审计快速安装手册》请在金锄头文库上搜索。