检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
执行风险扫描 风险管控支持手动扫描风险信息、查看系统审计的风险问题和配置风险告警接收方式。 通过多个维度为资产进行风险扫描,识别资产的潜在风险,并支持导出风险报表。 背景信息 目前支持资产类型Oracle、SQL Server、DB2、DM7。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
查看和配置消息中心 在消息中心,您可以查看系统的通知告警等消息,配置推送的消息类型、消息模板和接收角色等。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“安全管理 > 消息中心”。 也可在页面右上角,单击“消息中心”,进入“消息中心”页面。
为了确保挂载方式使用对象存储桶的可靠性和稳定性,请在创建对象存储前先配置密钥。 本章节操作适配云容器引擎 CCE服务旧版Console,请您在控制台切换至旧版CCE Console,具体切换步骤如图所示。 图1 切换云容器引擎服务至旧版Console 操作步骤 登录管理控制台。 在页面上方选择“区域”后,单击,选择“容器
检查安装节点的Agent程序运行状态 检查添加的数据库信息以及审计状态 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。 在“选择实例”下拉列表框中,选择需要排查的数据库所属的实例。 检查待审计的数据库信息。 如果数据库信息正确,请执行5。
管理授权 支持在授权管理页面为访问数据库的客户端和数据库用户授权。 授权管理模块中支持客户端和用户授权,两者授权取交集,详情请参见设置客户端授权和设置用户授权。 管理授权示例说明如下: 表1 设置示例说明 参数 示例值 客户端授权 IP地址范围: 192.168.0.100~192
手动创建成员 通过新增人员信息,完善组织架构。可根据公司实际人员需求创建。 前提条件 已有部门用于管理人员,关于部门的相关操作请参见创建组织部门。 操作步骤 使用安全管理员secadmin账号登录数据库加密与访问控制实例。 在左侧导航栏,选择安全管理 > 组织管理。 单击“添加用户”。
虚拟补丁防护配置举例 虚拟补丁规则功能是通过内置数据库特征漏洞库信息,并将其转化为防护特征攻击的特征策略,对命中策略的攻击进行虚拟补丁拦截防护。 组网需求 图1 反向代理组网示例 表1 组网参数说明 设备 说明 客户端 IP地址:172.16.196.33 数据库运维安全管理系统
管理集合配置 配置集合信息(例如客户端IP、数据库用户等)后,在设置策略时可选择对应集合。实现信息统一维护,避免多处维护。 背景信息 系统支持配置的集合类型如下图1所示,此处以配置资产客户端IP集为例。 图1 集合信息 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。
审批运维工单 数据库操作员对资产进行运维操作时,需要提交运维工单。管理员在工单审批页面审批后,数据库操作员才能进行相关操作。 前提条件 在审批前数据库操作员已经发起运维工单,具体操作请参见发起运维工单申请。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“运维管理
管理运维人员 在人员管理页面查看运维人员信息。如果添加资产时开启了Web认证,还需对运维人员进行目标资产授权,授权后才可访问资产。 背景信息 请确保已添加资产账号信息,具体操作请参见添加数据资产。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏,选择“运维管理
通过Web安全客户端访问资产 数据库操作员可以通过Web安全客户端访问资产。 在使用Web安全客户端前,需要系统管理员已经将数据库操作员和资产关联起来。具体操作,请参见管理运维人员。 操作步骤 使用安全管理员datadmin账号登录数据库运维安全管理系统。 在左侧导航栏,选择“运维管理
查看高可用信息 若系统采用高可用部署,您可以在“平台管理 > 高可用管理”页面查看高可用信息,包括主备机IP与VIP、主备机的运行时间以及各项指标的状态。 若采用高可用模式,对于已有数据资产的单机组HA的场景,请注意以下事项: 若增加VIP地址,需要将所有已有数据源的代理地址手动修改为VIP地址;
Agent运行时会消耗安装节点多少资源? Agent在运行时会消耗一定的系统资源(CPU不超过5%,内存不超过300MB),并有以下两个监控措施: 监控系统整体的CPU和内存。当CPU或内存超过设定的阈值(默认80%),Agent将停止运行,不进行流量获取。 监控Agent进程本身的CPU和内存。
如何查看数据库安全审计Agent的运行状态? 安装节点安装Agent程序后,请参照以下操作步骤,查看Agent程序的运行状态。Agent程序的运行状态如表1所示。 Linux操作系统 使用跨平台远程访问工具(例如PuTTY)以root用户通过SSH方式,登录已安装Agent的节点。
配置解密队列 如果数据库不再需要加密,可通过配置解密队列进行解密。配置解密后,对应的数据库列中的信息将变为加密前的明文数据。 您可以在“加密队列管理”页面,找到目标加密队列,单击“添加至解密队列”创建解密队列;也可以在“解密队列管理”页面创建解密队列。 此处以在“解密队列管理”页面为例,介绍如何创建解密队列。
回滚表结构 配置加密队列成功即数据库表初始化后,系统会修改表结构。如果需要恢复到原状态,需要进行回滚表结构。 手动回滚表结构功能适用场景:创建加密队列时,数据库表进行初始化后,加密之前,需要回退到原始状态。 图1 初始化表 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。
添加SQL策略 系统已经内置策略组和策略,您可以根据需求添加自定义的SQL策略。 背景信息 自定义策略包含功能如下: 支持对缺省数据库策略组进行编辑和删除操作。 支持对自定义策略组进行添加、编辑和删除操作。 支持对策略组的规则进行添加、删除、编辑、上移、下移操作。 可根据自身业务
配置加密队列 如果您已了解数据库表结构,可以直接在加密队列管理页面直接添加。配置加密后,未授权用户查询对应的数据库信息时,将只查看到密文内容。 如果对敏感数据分布不了解,可使用敏感数据发现功能扫描您的数据库,在识别结果中创建加密队列,对数据库表进行加密,具体操作请参见在结果中创建加密队列。
查看和下载日志 在加密日志页面中,可以下载加解密队列日志和代理端日志。 操作步骤 使用系统管理员sysadmin账号登录数据库加密与访问控制实例。 在左侧导航栏中,选择“数据加密 > 加密日志”。 配置和下载代理端日志。 在采集代理日志区域,单击“修改”,配置采集的代理端日志级别。
下载并查看报表 生成报表后,您可以在报表查看页面下载查看报表。 操作步骤 使用系统管理员sysadmin账号登录数据库运维管理系统。 在左侧导航栏中,选择“报表分析 > 报表查看”。 (可选)在报表类型中选择目标报表类型,单击“查询”,搜索指定类型报表。 找到目标报表,单击“下载”。