规则配置：

            功能简介：该功能主要用于配置数据库策略，DBS审计的操作语句与规则比对，满足规则就告警

            功能配置：使用ruleadmin进入规则管理平台，点击规则配置>>规则管理进行添加、修改规则

            DBS默认有各个HIS厂家统方规则库，以及数据库安全规则、SQL注入规则等

 

            规则属性内容：

名称	说明
操作系统主机名	客户端的操作系统主机名。
操作系统用户名	客户端的操作系统用户名。
客户端MAC	客户端的网卡地址。
子对象名	详细信息请参阅第28页子对象设置。
进程集合名	详细信息请参阅第26页进程配置。
客户端IP集	详细信息请参阅第28页IP集配置中的来访客户IP配置。
数据库账户	数据库服务器的账户
来源客户网络	详细信息请参阅第28页IP集配置中的来访客户网段的配置。
最大操作语句	客户端的最大的操作语句长度，超过此值时，出现告警。
语句执行回应	客户端操作数据库的SQL语句的执行回应，结果为success(成功)或者error（失败）。
返回内容	针对审计到的返回结果进行规则设置。
返回行数	设置一个返回结果的行数，当审计到的返回结果行数一致时出现报警。
关联表数目阀值	针对SQL语句中表的嵌套，当审计结果中关联表的个数大于该值时，出现告警。
查询返回行数阀值	查询结果返回的行数大于该值时，将报警。
关键字审计	关键字之间使用“&”和“|”符号连接，分别表示“与”和“或”的关系，如果这里设置了关键字，当在审计结果中出现对应的关键字时， 出现告警。

规则配置流程

规则实例：

             配置流程

            ◆ 实例解析

            假定需要监控的数据库服务器上数据库中：

            涉及的表有：staff_dict（医院人员表）、outp_bill_item（门诊费用记录表）；

            上述表中涉及的字段有：name（医生姓名）、ordered_by_doctor（开单医生）、item_name（项目名称）、item_price（项目价格）；

也就是但一条语句中同时满足这几张表和字段时进行告警。

需求如下：

1）对上述2张表和4个字段，应用服务器（192.168.1.23）访问的可以不审计，监控select查询操作；

2）对上述2张表和4个字段，192.168.2.0-192.168.2.200网段客户端访问的告警，风险级别为中风险，监控select查询操作；

3）对上述2张表和4个字段，如果是plsql工具操作的告警，风险级别为高风险，监控select查询操作；

4）针对所有表、字段，监控delete、drop、truncate删除操作。Delete操作风险级别为低风险，drop和truncate操作风险级别为高风险。

根据上述的需求，接下来配置规则（以下配置均在ruleadmin帐号下完成）：

1、审计对象别名配置

点击“全局参数配置”-“审计对象别名”，打开“审计对象别名”配置界面，点击“添加”，对敏感表、字段设置一个别名，系统可以将表、字段和关键字来配置别名，设置关键字的目的是因为数据库语句中有些英文字符既不是表，也不是字段，这个时候如果要设置别名，就可以通过关键字来定义。

 

2、访问者别名配置

点击“全局参数配置”-“访问者别名”，打开“访问者别名”配置界面，访问者别名设置，将IP地址翻译成中文，方便在审计结果中直观的看到是谁操作了数据库。

 

 

3、进程配置

点击“访问者信息配置”-“进程配置”，打开“进程配置”界面，添加进程集合，进程集合名可以自定义，这里配置为“第三方工具”，然后点“客户端进程”的下拉选项，选择“plsqldev.exe”，最后点“添加”按钮。一个集合中可以添加多个进程。

 

 

            添加成功后，就可以看到新建的进程集合，

 

4、IP监控配置

            点击“访问者信息配置”-“IP监控”，打开“IP监控”配置界面，

 

            先添加应用服务器IP，选择“来访客户IP”，输入应用服务器的IP地址“192.168.1.23”，点“添加”，再点“保存”

 

            添加完IP集后的界面，

 

            继续添加上面需求中提到的IP网段，192.168.2.0-192.168.2.200，类型选择“来访客户网段”，把起始IP和终止IP输入后，点击添加，保存即可。

            5、子对象配置

     点击“对象配置”-“子对象”，打开“子对象”配置界面，

            根据需求中提到的2张表和4个字段，同时满足时告警，他们之间是与（&）的关系，可以在子对象中进行设置。如下图所示，多张表或字段用“&”符合隔开，点击保存即可,

 

6、规则配置

点击“规则配置”-“规则管理”，打开“规则管理”界面，

针对上述需求：

1）对上述2张表和4个字段，应用服务器（192.168.1.100）访问的可以不审计，监控select查询操作

如下图红框标注的，添加规则名，选择级别为“不审计”，操作类型选择“select”，接着在子对象和客户端IP集中选择第二步和第三步添加的集合。最后保存设置。

 

            添加规则1,级别不审计

            2）对上述2张表和4个字段，192.168.2.0-192.168.2.200网段客户端访问的告警，风险级别为中风险，监控select查询操作

            添加规则方式同需求1，添加规则名“192.168.2.0网段操作”，设置风险级别“中风险”，选择操作类型“select”，然后调用之前配置的子对象和IP集合，最后保存设置。如下图所示,

 

            添加规则2，级别中

            3）对上述2张表和4个字段，如果是plsql工具操作的告警，风险级别为高风险，监控select查询操作

            配置方法同上，

 

            添加规则3，级别高

            4）针对所有表、字段，监控delete、drop、truncate删除操作。delete操作风险级别为低风险，drop和truncate操作风险级别为高风险

 

            7、规则组配置

            点击“规则配置”-“规则组管理”，打开“规则组管理”界面，

            配置规则组是要将双面配置的规则统一加到一个组中管理起来，如下图，先创建一个规则组，输入规则组名，然后保存即可，

 

            添加规则组界面

            保存后，双击新建的规则组，把规则加到组中管理，如下图，左边一栏是未选中的规则，右边是已选择规则，将左边规则按着鼠标拖到右边即可统一管理，

 

            规则组管理

            8、规则应用到审计对象

            打开“对象设置”-“审计对象”，打开“审计对象”界面，选择对应的数据库，点击“应用规则组”，然后选择“某客户规则组”，点击“保存”按钮即可，

 

            将规则应用到审计对象

            至此，一个完整的规则配置就完成了。