信任规则概述
当系统匹配信任规则后,不会再匹配安全规则,不产生任何告警信息。
开启步骤
1.在左侧菜单栏中选择“规则配置 > 信任规则”进入“信任规则”页面。
2.单击“新增”,在弹出的新增规则对话框中编辑相关信息。具体参数可参考下表。
项目 参数 参数说明 基本信息 名称 设置规则名称,必须为中文字符、字母、数字、下划线“_”、点“.”或短横“-”,长度不超过64字符。 描述 规则描述。 等级 必选项,系统默认等级为中风险。等级可选高风险、中风险和低风险。 所属规则组 必选项,可选择自定义的规则组,也可以选择系统默认规则组。可通过以下步骤对自定义规则组进行管理:
单击所属规则组右边的“规则组管理”,可新增、修改和删除自定义规则组。
规则类型 当前支持普通规则和统计规则两类。
普通规则:单条审计记录匹配配置的普通规则,会触发普通告警(例如一条select语句,可能会触发一条普通告警)。
统计规则:指定时间内多次匹配配置的统计规则,会触发一条统计告警(例如5分钟内10次select失败,可能会触发一条统计告警)。
行为 当前支持告警和告警并阻断。
告警:操作命中规则后,仍正常执行,无特殊控制。
告警并阻断:操作命中规则后,该操作对应的数据库连接断开。
客户端 客户端来源 访问业务类型的客户端IP或IP组。可填写多个,以逗号“,”分隔。 客户端工具 可配多个客户端工具,使用逗号“,”分隔,例如:db2bp.exe,java.exe。 客户端端口 可配置多个值或区间,多个值间以逗号“,”分隔,例如:10-15,20,25,30-40。 客户端MAC地址 可填多个值,多个值间以逗号“,”分隔。 操作系统用户 可以选择字符串或者正则表达式,字符串可填多值,多个值间以逗号“,”分隔。 主机名 可以选择字符串或者正则表达式,字符串可填多值,多个值间以逗号“,”分隔。 应用IP 指定规则所匹配的应用IP或IP组,对应审计日志中的关联IP,可填多值,多个值间以逗号“,”分隔。 应用用户名 指定规则所匹配的应用用户或用户组,对应审计日志中的关联账号,可填多值,多个值间以逗号“,”分隔。 服务端 服务端IP 可填多个值,多个值间以逗号“,”分隔。 服务端端口 可配置多个值或区间,多个值间以逗号“,”分隔,例如:10-15,20,25,30-40。 数据库账号 指定规则所匹配的数据库登录用户账号或账号组或者使用正则表达式,可填多值,多个值之间以“,”分隔。 服务端MAC地址 可填多个值,多个值间以逗号“,”分隔。 数据库名(SID) 可以选择字符串或者正则表达式,Oracle数据库请输入SID,其他数据库输入数据库名,字符串可填多值,多个值间以逗号“,”分隔。 行为 对象 指定规则匹配的对象组。 操作类型 指定SQL语句的操作类型,例如:select、update、delete等。 SQL模板ID 可填项,可填多值,多个值间以逗号“,”分隔。 SQL关键字 SQL关键字:支持以正则表达式匹配报文。
单击“正则验证”输入报文内容,单击“校验”,验证输入内容与执行结果关键字中的正则表达式是否匹配;单击“增加条件”可添加多个条件。
条件运算逻辑表达式:SQL关键字填写后,此项为必填项。条件间的关系,支持与、或、非、括号运算(&:与;|:或;~:非),条件使用序号表示,即“1”表示条件1,例如:1&2,则代表有2个SQL关键字条件且两个关键字都要满足才能告警。
SQL长度 指定SQL语句的长度,取值范围:1B~64KB。 关联表数 SQL操作涉及表的个数大于等于此值时触发本规则,允许输入最大值为255。 WHERE字句 是否包含WHERE,支持三个选项:
不判断
有WHERE子句
没有WHERE子句
默认为不判断。WHERE子句用于提取满足指定条件的SQL记录,语法如下:
SELECT column_name,column_name
FROM table_name
WHERE column_name operator value;
结果 执行时长 (选填)单位:秒、毫秒、微秒,取值范围:0到半个小时,SQL执行时长属于此范围,则触发规则。 影响行数 取值范围:0~999,999,999。SQL操作返回的记录数或受影响的行数属于此范围,则触发规则。 返回结果集 支持以正则表达式匹配结果集。 单击“正则验证”输入报文内容,单击“校验”,验证输入内容与执行结果关键字中的正则表达式是否匹配;单击“增加条件”可添加多个条件。
条件运算逻辑表达式:SQL关键字填写后,此项为必填项。条件间的关系,支持与、或、非、括号运算(&:与;|:或;~:非),条件使用序号表示,即“1”表示条件1,例如:1&2,则代表有2个SQL关键字条件且两个关键字都要满足才能告警。
执行状态 可选三类执行状态:
全部
成功
失败
默认为全部。
执行结果描述 支持以正则表达式方式匹配。 其他 生效时间 可自定义或者选择时间组。 每日最大告警数 取值范围:0~99,999,输入0表示没有限制。 结果集存储策略 设置触发该规则的告警日志的返回结果集存储策略,包含使用资产设置、保存和不保存。
3.配置完成后,单击“保存”即可完成信任规则的配置。