规则配置
规则配置是指根据一些特征(如客户端、服务端、SQL语句)定义危险行为(安全规则)、可以信任的行为(信任规则)和不审计的行为(过滤规则)。当系统审计到对数据库的操作匹配过滤规则的行为则不进行审计,对应匹配信任规则时不会触发告警,对应匹配安全规则时会触发告警。
系统匹配规则的顺序为:
1.过滤规则;
2.信任规则;
3.安全规则。
配置过滤规则
过滤规则的功能是根据某些特定的条件过滤一些操作,系统对这些操作不审计,从而节省设备的磁盘空间,将有限的资源用来存储更有价值的审计数据。
过滤规则的过滤方式有三种:
- 按IP过滤:设置某些IP地址为信任的IP地址,系统对这些IP地址发起的SQL请求不审计。
- 按SQL模板过滤:设置SQL模板为可信任的模板,当访问的SQL语句的模板是设置的过滤模板,则不进行审计。
- 按规则过滤:指按照特定的条件进行审计过滤,规则包括客户端信息、服务端信息、SQL请求和SQL结果等条件。
具体操作步骤请参考过滤规则章节。
配置信任规则
1.在左侧菜单栏中选择“规则配置 > 信任规则”进入“信任规则”页面。
2.单击“新增”,在弹出的新增规则对话框中编辑相关信息。具体参数请参考信任规则章节。
3.配置完成后,单击“保存”即可完成信任规则的配置。
配置安全规则
内置规则不可更改,默认为推荐规则,您可以通过单击界面右上角的“推荐”按钮切换到全部规则。
说明内置规则包含特征规则及其他非特征规则,特征规则不可进行克隆和删除操作,非特征规则可进行克隆操作。
您可以管理自定义的规则,新增自定义安全规则的操作方法如下:
1.在菜单栏选择“规则配置 > 安全规则”进入“安全规则”页面,选择“规则管理”页签,单击“新增”。
2.在弹出的对话框中填写相关参数,填写完成后单击“保存”即可完成安全规则新增任务。具体参数请参考安全规则章节。