3、高风险操作行为警报
天玥产品在运行时,可对正在进行的业务和管理层面的数据库交互活动进行检测,对其中违反既定的安全策略的行为(事件、会话)可以即时发现,同时可以形成报警、阻断等操作。
通过灵活定义,任何用户对一些核心机密数据或表的非法和违规访问均可以产生特别的报警,并可通过内置功能如EMAIL、SYSLOG、SNMP方式来显示。
我们以以下设置顺序来为你展示(只展示审计):
A、如何定义高风险的行为
B、对这些高风险行业的响应方式
C、结合高风险行为及响应方式,设定相应审计策略
D、对审计策略的执行结果实施syslog日志方式的报警
A、定义高风险的行为:本次评测的为 oracle数据库,天玥已经内置了一些高风险行为的定义,当然我们亦可根据需求灵活定义。通常会定义一些操作命令如drop、creat、grant等,以及对一些敏感信息的库、表、字段等(如员工工资表等)。
B、针对高风险行为的响应方式:天玥产品了内置了一些响应方式(以级别分等级),如紧急、高等,也可通过“新建”自定义一些较为直观的响应方式。
C、设定审计策略:高风险行为定义了,响应方式也确定了,接下来就要设定审计策略或是会话策略了,可以自定义内容以及优先级别(通过上下箭头实现)。
D、报警方式设定:天玥提供了至少三种的报警方式:Email、syslog、Snmp,同时也可以通过日志报告中的实时的审计(事件)日志或会话日志及时查看。
首先在“事件过滤”设置对oracle协议的操作结果进行报警的有别及方式,如下图所示:
其次就是设置 syslog日志服务器,如下图所示:
此外,我们亦能通过实时的日志查看(通过此,也能看到一些错误的SQL内容,这也是此产品的一个不错的功能):
对“会话”产生报警的设定方式与事件相对,此处不再展示过程,以下图来说明会话的实时查看及阻断操作(天玥产品需要串接的方式):