数据库数据库审计

数据库审计(龙镜)说明文档目录产品简介.
2产品概述.
2功能优势.
2高性能.
2全面审计.
2完美报表.
2应用场景.
3推荐解决方案.
3快速入门.
3Linux系统.
3Windows系统4操作指南.
5产品页面登陆.
5产品使用授权.
5系统管理员登陆.
5产品授权.
5添加数据库引擎.
5填写数据库信息.
6选择数据来源接口(即设备管理口)6配置远程接口并运行引擎.
6运维指南.
7故障处理.
7产品简介产品概述数据库审计(以下简称龙镜)是一款在云环境下对数据库进行用户访问审计的数据库安全产品.
系统通过有效的数据库访问数据获取技术,对面向数据库的所有访问和操作行为进行全面记录,可以完整有效的实现对数据安全事件的事后可视化追溯,并可以通过专业、全面、精细、灵活的数据库审计策略配置,对数据库访问语句进行细致敏锐的风险判断,快速灵敏的对正在发生的数据库操作进行告警,实现最大程度的避免因数据库漏洞攻击、SQl注入、各种风险操作等数据库操作行为引起的数据破坏或泄漏,最终做到及时有效的保护数据库的数据安全.
龙镜为客户带来的价值包括:对数据库进行实时防护,有效的保护敏感宝贵的数据资产对数据库安全事件进行可视化的事后追溯,为安全事件提供线索和证据对发现的数据库风险操作及时告警处理,保障单位业务的正常运转综合的数据库访问审计和攻击检测,助力单位轻松满足等保评测要求功能优势高性能数据库访问信息需要经过数据获取、分析处理、存储、检索展现等处理.
龙镜拥有完全自主的技术体系,具有较高的技术壁垒.
分析处理之多级缓存技术:多级分析结果缓存,高效分析通信内容存储之海量日志存储技术:基于BigTable和MapReduce的存储,实现单机环境高效、海量存储检索展现之分段索引技术:基于倒排索引的分段检索,实现高效、灵活日志分析实际测试结果表明,龙镜的连续SQL处理能力轻松达到10万条SQL/秒,每TB硬盘最低存储能力达到30亿条,远高于国内外竞争产品.
全面审计全面审计涵盖了可能访问云端数据库的所有途径,无论是内部、外部,还是直接、间接.
完美报表提供大量报告模板,包括各种审计报告、安全趋势等.
可实现报表格式和模板的自定义.
应用场景适用于等保分保测评、网安法及各行业法律法规检查涉及数据库安全场景推荐解决方案租户选择使用龙镜镜像创建服务器,硬件配置请参考下表.
(建议的云主机硬件配置如下):普通版标准版旗舰版CPU双核CPU4核CPU8核内存4G内存8G内存16G硬盘1T硬盘1T硬盘2T注:龙镜容量为1T的磁盘空间,可以保存30-35亿的审计日志(标准SQL),请根据数据访问量情况选择.
快速入门登录审计系统,下载相应的探针版本Linux系统1.
文件夹内:csremote主程序csremote_ex服务脚本2.
csremote_ex需要完成以下配置:db_ip=172.
16.
1.
84(本地IP)db_port=1521(数据库端口)server_ip=172.
16.
1.
86(审计系统IP)server_port=7002(审计系统远程探针监听端口,可在页面上设置)web_port=0(启用三层审计时设置为web端口;不启用时设为0)maxcount=1000(最大包数)(压缩包发送模式)timeout=10(时间阈值)(单位:秒)(压缩包发送模式)type=1(0:单包发送模式,1:压缩包发送模式)passip=172.
16.
1.
16(抓包白名单,多于一个IP时使用#号分隔,例:passip=172.
16.
1.
16#172.
16.
1.
22,不需要过滤白名单时,至为"passip="即可)3.
csremote指令(-install;-remove;-service)执行命令:.
/csremote-install(可直接安装探针程序为系统服务,安装后要手动启动服务:servicecsremotestart).
/csremote–remove(可卸载探针服务).
/csremote–service(可直接运行探针(调试使用))Windows系统1.
文件夹内:csremote.
exe,ipport.
ini2.
ipport.
ini:需要完成以下配置:db_ip=172.
16.
1.
84(数据库IP,支持填写域名或hostname)db_port=1521(数据库端口)server_ip=172.
16.
1.
86(审计系统IP)server_port=7002(审计系统远程探针监听端口)web_port=0(启用三层审计时配置web包抓取端口,不用时设为0)maxcount=1000(最大包数)(压缩包发送模式)timeout=10(时间阈值)(单位:秒)(压缩包发送模式)type=1(0:单包发送模式,1:压缩包发送模式)passip=172.
16.
1.
16(抓包白名单,多于一个IP时使用#号分隔,例:passip=172.
16.
1.
16#172.
16.
1.
22,不需要过滤白名单时,至为"passip="即可)4.
查看服务:在服务页面,可查看探针服务状态;启动和停止服务可在运行框内输入:services.
msc;打开服务页面5.
windowsserver2003windowsserver2003需要添加路由,通过运行此命令可添加路由:routeadd-p172.
16.
1.
84mask255.
255.
255.
255172.
16.
1.
1metric1其中:172.
16.
1.
84对应本机IP;255.
255.
255.
255不需要修改;172.
16.
1.
1网关;使用命令:routeprint查看路由是否添加成功.
操作指南产品页面登陆https://xx.
xx.
xx.
xx产品使用授权系统管理员登陆产品授权系统管理——>系统配置——>授权管理添加数据库引擎填写数据库信息Secadmin管理员登陆——>通用配置——>填写数据库相关信息选择数据来源接口(即设备管理口)配置远程接口并运行引擎通过主页面进入审计与防护——>高级设置——>开启远程监控功能(端口范围7000-8000,不同引擎不可用相同端口)——保存并生效验证远程接口是否已开启并可用数据库端telnet或ssh审计IP+远程监控端口运维指南执行命令:tcpdump-ieth1-a-nport1521andhostx.
x.
x.
x(数据库ip),如下图所示,则说明镜像正确.
故障处理登陆系统管理员使用诊断分析功能