文档中心

数据库审计DAS用户指南（下）

最近更新时间：

3 规则监控平台

3.1 规则监控墙整体预览

分为三大块，左边部分为导航菜单，中间部分规则适用情况，右边部分包括审计状态。

3.2 全局参数设置

3.2.1 审计对象别名

针对表名、字段名、关键字、客户端进程进行别名设置，也就是翻译，这里设置的别名会在风险查询和日常行为查询中出现相应的表名、字段名、关键字、客户端进程进行标注翻译之后的，方便识别和查看。

1. 添加审计对象别名

(1) 单击“全局参数设置 > 审计对象别名”，打开审计对象别名界面。

(2) 单击“添加”，弹出“添加审计对象别名”窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“提交”，完成添加。

2. 修改审计对象别名

(1) 单击“全局参数设置 > 审计对象别名”，打开审计对象别名界面。

(2) 勾选需要修改的审计对象别名，单击“修改”可以进行修改。

3. 复制审计对象别名

(1) 单击“全局参数设置 > 审计对象别名”，打开审计对象别名界面。

(2) 勾选需要复制的审计对象别名，单击“复制”可以复制此审计对象别名。

4. 删除审计对象别名

(1) 单击“全局参数设置 > 审计对象别名”，打开审计对象别名界面。

(2) 勾选需要删除的审计对象别名，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.2.2 访问者别名

访问者别名管理是对客户端访问者设置别名，方便识别，设置某个 IP 的别名为 A，这样在审计结果中出现这个 IP 的将会显示别名 A。

1. 添加访问者别名

(1) 单击“全局参数设置 > 访问者别名”，打开访问者别名界面。

(2) 单击“添加”，弹出“添加访问者别名”窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“保存”，完成添加。

2. 查询访问者别名

(1) 单击“全局参数设置 > 访问者别名”，打开访问者别名界面。

(2) 单击“查询”，输入相关参数进行查询。

3. 修改访问者别名

(1) 单击“全局参数设置 > 访问者别名”，打开访问者别名界面。

(2) 勾选需要修改的访问者别名，单击“修改”可进行修改。

4. 删除访问者别名

(1) 单击“全局参数设置 > 访问者别名”，打开访问者别名界面。

(2) 勾选需要删除的访问者别名，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.2.3 审计控制

该模块是审计模式与返回结果长度的设置，对审计的结果进行过滤。

(1) 单击“全局参数设置 > 审计控制”，打开审计控制界面。

(2) 选择控制选项。

· 全部审计：对所有的操作数据进行审计操作，并将所有操作数据进行保存。

· 按审计规则：只有满足审计规则的数据才会被审计到。

(3) 最大返回结果长度：用于控制操作语句返回内容的最大长度，默认为 30000 字节。

(4) 最长操作语句长度：用于控制单条语句的最大长度，默认为 30000 字节。

(5) 风险统计告警。

启用该功能后，每天早上 9-10 点（程序定义）发送一条告警短信到管理员手机中，让管理员知悉前一天的风险告警情况，有无告警系统都会发送。

3.2.4 通知策略

1. 添加通知策略

(1) 单击“全局参数设置 > 通知策略”，打开通知策略界面。

(2) 单击“添加”，弹出添加策略窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“提交”，完成添加。

2. 修改通知策略

(1) 单击“全局参数设置 > 通知策略”，打开通知策略界面。

(2) 勾选需要修改的通知策略，单击“修改”可以进行修改。

3. 复制通知策略

(1) 单击“全局参数设置 > 通知策略”，打开通知策略界面。

(2) 勾选需要复制的通知策略，单击“复制”可以复制此通知策略。

4. 删除通知策略

(1) 单击“全局参数设置 > 通知策略”，打开通知策略界面。

(2) 勾选需要删除的通知策略，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.3 访问者信息配置

对访问者的客户端进程、驱动级 IP 过滤，IP 监控和规则生效时间的设置。

3.3.1 进程配置

1. 添加进程配置

场景描述

此功能是将多个客户端进程维护到一个合集中，在设置规则时可以针对该集合配置规则。

操作步骤

(1) 单击“访问者信息配置 > 进程配置”，打开进程配置界面。

(2) 单击“添加”，弹出添加进程配置窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“添加”，完成添加。

(5) 单击“保存”。

2. 修改进程配置

(1) 单击“访问者信息配置 > 进程配置”，打开进程配置界面。

(2) 勾选需要修改的进程配置，单击“修改”可以对进程配置进行修改。

3. 删除进程配置

(1) 单击“访问者信息配置 > 进程配置”，打开进程配置界面。

(2) 勾选需要删除的进程配置，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.3.2 IP 监控

这部分功能是设置相应的客户端 IP 集合，将一些 IP 加入某个集合中，在设置规则时可以针对该集合配置规则（应用到规则管理，在审计控制中选择按规则审计，就可以监控这个 IP 或 IP 段）。

1. 添加 IP 监控

(1) 单击“访问者信息配置 > IP 监控”，打开 IP 监控界面。

(2) 单击“添加”，弹出添加 IP 监控窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“添加”，完成添加。

(5) 单击“保存”。

2. 修改 IP 监控

(1) 单击“访问者信息配置 > IP 监控”，打开 IP 监控界面。

(2) 勾选需要修改的 IP 监控，单击“修改”可进行修改。

3. 删除 IP 监控

(1) 单击“访问者信息配置 > IP 监控”，打开 IP 监控界面。

(2) 勾选需要删除的 IP 监控，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.3.3 规则生效时间

此功能是定义规则生效时间，可以定义某个时间段内，规则处于告警或者不告警的状态。

1. 添加规则生效时间

(1) 单击“访问者信息配置 > 规则生效时间”，打开规则生效时间界面。

(2) 单击“添加”，弹出规则生效时间窗口。

(3) 配置完成后单击“确认”，完成添加。

2. 修改规则生效时间

(1) 单击“访问者信息配置 > 规则生效时间”，打开规则生效时间界面。

(2) 勾选需要修改的规则生效时间，单击“修改”可以对规则生效时间进行修改。

3. 删除规则生效时间

(1) 单击“访问者信息配置 > 规则生效时间”，打开规则生效时间界面。

(2) 勾选需要删除的规则生效时间，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.4 对象设置

3.4.1 子对象

1. 添加子对象

场景描述

此项是设置规则的子对象名称，这里的子对象即为访问者的用户名或数据库名，即需要审计的数据库中的敏感表、包、函数、过程、视图、字段、索引等。

操作步骤

(1) 单击“对象设置 > 子对象”，打开子对象统计信息界面。

(2) 单击“添加”，弹出添加子对象窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“添加”，完成添加子对象。

2. 查询子对象

(1) 单击“对象设置 > 子对象”，打开子对象统计信息界面。

(2) 在搜索框输入需要查询的子对象名称，支持模糊查询。

(3) 单击“查询”，进行子对象查询。

3. 修改子对象

(1) 单击“对象设置 > 子对象”，打开子对象统计信息界面。

(2) 勾选需要修改的操作类型，单击“修改”可以对子对象进行修改。

4. 删除子对象

(1) 单击“对象设置 > 子对象”，打开子对象统计信息界面。

(2) 勾选需要删除的子对象，单击“删除”。

(3) 确认信息后单击“是”，完成删除子对象操作。

5. 复制子对象

(1) 单击“对象设置 > 子对象”，打开子对象统计信息界面。

(2) 勾选需要复制的子对象，单击“复制”。

(3) 修改规则名及参数后单击“保存设置”即可复制。

3.4.2 审计对象

1. 添加审计对象

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 单击“添加”，弹出添加审计对象窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“保存”，完成添加。

注意：

对于加密 SQL Server 数据库，需要在扩展配置中加入连接数据库的账号和用户名，这样有利于查看审计结果。

2. 修改审计对象

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 勾选需要修改的操作类型，单击“修改”可以对审计对象进行修改。

3. 删除审计对象

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 勾选需要删除的审计对象，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

4. 复制审计对象

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 勾选需要复制的审计对象，单击“复制”。

(3) 修改规则名及参数后单击“保存设置”即可复制。

5. 启用审计对象

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 勾选需要启用的审计对象，单击“启用”即可。

6. 禁用审计对象

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 勾选需要禁用的审计对象，单击“禁用”即可。

7. 自动获取审计对象

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 单击“自动获取审计对象”弹出获取审计对象窗口。

(3) 在下拉框中选择“启用”或 “禁用”。

(4) 单击“保存”。

8. 导入

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 单击“导入”，弹出导入审计对象窗口。

(3) 单击“选择文件”，选择要导入的文件。

(4) 单击“提交”完成导入操作。

9. 导出

(1) 单击“对象设置 > 审计对象”，打开审计对象信息界面。

(2) 单击“导出”，弹出 EXCEL 导出窗口。

(3) 选择“导出所有”或者“导出选中审计对象”进行导出即可。

3.4.3 通知对象

1. 添加通知对象

场景描述

此项是配置通知对象，可以将审计到的不同级别的风险发送给管理员，以便管理员随时了解数据库状态。

添加后的通知对象可以运用到通知策略的接收者中。

操作步骤

(1) 单击“对象设置 > 通知对象”，打开通知对象设置界面。

(2) 单击“添加”，弹出新增通知对象窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“确认”，完成添加。

2. 修改通知对象

(1) 单击“对象设置 > 通知对象”，打开通知对象设置界面。

(2) 勾选需要修改的通知对象，单击“修改”可以对通知对象进行修改。

3. 删除通知对象

(1) 单击“对象设置 > 通知对象”，打开通知对象设置界面。

(2) 勾选需要删除的通知对象，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.5 规则配置

模块主要功能是规则管理和规则组管理。

3.5.1 操作类型

此项是配置操作类型，有系统内置操作类型，用户也可以手动添加（应用到规则管理）。

1. 添加操作类型

(1) 单击“规则配置 > 操作类型”，打开操作类型管理界面。

(2) 单击“添加”，弹出添加窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“添加”，完成添加。

2. 修改组合规则

(1) 单击“规则配置 > 组合规则”，打开操作类型管理界面。

(2) 勾选需要修改的操作类型，单击“修改”可以对操作类型进行修改。

3. 删除组合规则

(1) 单击“规则配置 > 组合规则”，打开操作类型管理界面。

(2) 勾选需要删除的操作类型，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.5.2 组合规则

此项是配置组合规则或统计规则。

1. 添加组合规则

(1) 单击“规则配置 > 组合规则”，打开组合规则统计界面。

(2) 单击“添加”，弹出添加组合规则窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“保存设置”，完成添加。

2. 修改组合规则

(1) 单击“规则配置 > 组合规则”，打开组合规则统计界面。

(2) 勾选需要修改的规则，单击“修改”可以对规则进行修改。

3. 删除组合规则

(1) 单击“规则配置 > 组合规则”，打开组合规则统计界面。

(2) 勾选需要删除的规则，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

3.5.3 规则管理

此功能是设置规则，包括风险的级别、何种操作类型以及针对的对象（操作系统主机名、子对象、客户端 IP 集、客户端进程集、关键字等）。

1. 查询规则

(1) 单击“规则配置 > 规则管理”，打开规则管理界面。

(2) 在搜索框输入需要查询的规则名称，支持模糊查询。

(3) 单击“查询”，进行规则查询。

2. 添加规则

(1) 单击“规则配置 > 规则管理”，打开规则管理界面。

(2) 单击“添加”，弹出添加规则窗口。

(3) 根据下表的参数说明进行配置。

(4) 单击“保存设置”，完成添加操作。

3. 复制规则

(1) 单击“规则配置 > 规则管理”，打开规则管理界面。

(2) 勾选需要复制的规则，单击“复制”。

(3) 修改规则名及参数后单击“保存设置”即可复制。

4. 修改规则

(1) 单击“规则配置 > 规则管理”，打开规则管理界面。

(2) 勾选需要修改的规则，单击“修改”可以对规则进行修改。

5. 删除规则

(1) 单击“规则配置 > 规则管理”，打开规则管理界面。

(2) 勾选需要删除的规则，单击“删除”。

(3) 确认信息后单击“是”，完成删除。

3.5.4 规则组管理

规则组管理是方便对规则的管理，可以选择规则单击添加（删除）规则组，然后在“对象设置 > 审计对象”中加入该规则组，则规则启用。

1. 添加规则组

(1) 单击“规则配置 > 规则组管理”，打开规则组管理界面。

(2) 勾选对应规则组，单击“规则组设置”，弹出规则组设置窗口。

(3) 勾选左侧的规则，单击“添加”可以将勾选的规则添加到此规则组。

(4) 单击“保存”，完成规则组设置。

2. 修改规则组

(1) 单击“规则配置 > 规则组管理”，打开规则组管理界面。

(2) 勾选需要修改的规则组，单击“修改”可以对规则组进行修改。

3. 规则组设置

(1) 单击“规则配置 > 规则组管理”，打开规则组管理界面。

(2) 单击“添加”，弹出添加规则组窗口。

(3) 输入规则组的名称。

(4) 单击“提交”，完成添加操作。

4. 删除规则组

(1) 单击“规则配置 > 规则组管理”，打开规则组管理界面。

(2) 勾选需要删除的规则组，单击“删除”。

(3) 确认信息后单击“是”，完成删除操作。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服