数据库安全服务:添加审计范围
数据库安全审计默认提供一条“全审计规则”的审计范围,可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围,设置需要审计的数据库范围。
须知:
全审计规则大于自定义添加的审计范围规则,若您需要重新添加审计范围规则,请禁用“全审计规则”。
前提条件
- 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
- 已成功开启数据库安全审计功能。
操作步骤
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的
,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“审计规则”。
4.在“选择实例”下拉列表框中,选择需要添加审计范围的实例。
5.在审计范围列表框左上方,单击“添加审计范围”。
说明:
a.数据库安全审计默认提供一条“全审计规则”的审计范围,可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启,您只能禁用或启用该审计规则。
b.全审计规则大于自定义添加的审计范围规则,若您需要重新添加审计范围规则,请禁用“全审计规则”。
6.在弹出的对话框中,设置审计范围。
7.单击“确定”。
添加成功,审计范围列表新增一条状态为“已启用”的审计范围。
数据库安全服务:添加SQL注入规则
数据库安全审计提供“添加SQL注入规则”,您可根据需要自定义添加对应的SQL规则,添加后可以对成功连接数据库安全审计的所有数据进行安全审计。
前提条件
已成功购买数据库安全审计实例,且实例的状态为“运行中”。
已成功添加数据库并开启审计功能。
已成功添加数据库。
操作步骤
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“审计规则”。
4.在“选择实例”下拉列表框中,选择需要添加审计范围的实例。
5.选择“SQL注入”页签。
说明:
仅自定义创建的规则可以使用编辑和删除功能,默认的规则仅可使用启用和禁用功能。
6.单击“添加SQL注入规则”,在弹窗中填写相关信息。
7.填写完成,确认信息无误,单击“确定”,添加完成,新增的SQL注入规则默认为SQL注入列表第一条。
数据库安全服务:启用或禁用SQL注入检测
数据库安全审计的SQL注入检测默认开启,您可以禁用或启用SQL注入的检测规则。
须知:
一条审计数据只能命中SQL注入检测中的一个规则。
前提条件
- 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
- SQL注入检测的状态为“已禁用”时,可以启用SQL注入检测。
- SQL注入检测的状态为“已启用”时,可以禁用SQL注入检测。
禁用SQL注入检测
SQL注入检测默认开启,您可以根据使用需要禁用SQL注入检查规则。禁用SQL注入检测规则后,该审计规则在审计中将不生效。
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“审计规则”。
4.在“选择实例”下拉列表框中,选择需要禁用SQL注入检测的实例。
5.选择“SQL注入”页签。
说明:
仅自定义创建的规则可以使用编辑和删除功能,默认的规则仅可使用启用和禁用功能。
6.在SQL注入检测规则所在行的“操作”列,单击“设置优先级”,在弹出的窗口中单击“优先级”的选框选择想要设置的优先等级,数字越小优先级越高,选择完成,单击“确定”完成设置。
7.在SQL注入检测规则所在行的“操作”列,单击“禁用”。
8.单击“操作”列的“编辑”,可对目标规则的参数进行编辑,编辑完成,确认信息无误,单击“确定”,完成修改。
9.单击“操作”列的“删除”,对目标规则进行删除。
后续处理
禁用SQL注入检测规则后,如果您需要启动该规则,请在SQL注入检测规则所在行的“操作”列,单击“启用”,启用该规则。
数据库安全服务:添加风险操作
数据库安全审计内置了“数据库拖库检测”和“数据库慢SQL检测”两条检测规则,帮助您及时发现数据库安全风险。同时,您也可以通过添加风险操作,自定义数据库需要审计的风险操作规则。
须知:
一条审计数据只能命中风险操作中的一个规则。
前提条件
- 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
- 已成功开启数据库安全审计功能。
操作步骤
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“审计规则”。
4.在“选择实例”下拉列表框中,选择需要添加风险操作的实例。选择“风险操作”页签。在风险操作列表左上方,单击“添加风险操作”。
5.在“添加风险操作”界面,设置基本信息和客户端IP地址,
6.设置操作类型、操作对象、执行结果。
7.单击“保存”。
数据库安全服务:配置隐私数据保护规则
当需要对输入的SQL语句的敏感信息进行脱敏时,您可以通过开启隐私数据脱敏功能,以及配置隐私数据脱敏规则,防止数据库用户敏感信息泄露。
前提条件
- 已成功购买数据库安全审计实例,且实例的状态为“运行中”。
- 已成功开启数据库安全审计功能。
操作步骤
1.登录管理控制台。
2.在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > 数据库安全服务”,进入数据库安全审计“总览”界面。
3.在左侧导航树中,选择“审计规则”。
4.在“选择实例”下拉列表框中,选择需要配置隐私数据保护规则的实例。
5.选择“隐私数据保护”页签。
说明:
仅自定义创建的规则可以使用编辑和删除功能,默认的规则仅可使用启用和禁用功能。
6.开启或关闭“存储结果集”和“隐私数据脱敏”。
a.存储结果集
建议关闭
。关闭后,数据库安全审计分析平台将不会存储用户SQL语句的结果集。
如果用于PCI DSS/PCI 3DS CSS认证,禁止开启。
b.隐私数据脱敏
建议开启
。开启后,您可以通过配置隐私数据脱敏规则,防止数据库敏感信息泄露。
7.单击“添加自定义规则”,在弹出“添加自定义规则”对话框中设置数据脱敏规则。
8.单击“确定”。
规则列表中新增一条状态为“已启用”的脱敏规则。
效果验证
以脱敏“军官证号”信息,且审计的数据库为MySQL为例说明,请参考以下操作步骤验证隐私数据脱敏功能是否生效:
1.开启“隐私数据脱敏”,并确保“军官证号”规则已启用。
2.使用MySQL数据库自带的客户端,以root用户登录数据库。
3.在数据库客户端,输入一条SQL请求语句。
select * from db where HOST="军官证号";
4.在左侧导航栏选择“数据报表”,进入“数据报表”页面。
5.根据筛选条件,查询输入的SQL语句。
6.在该SQL语句所在行的“操作”列,单击“详情”。
7.查看SQL请求语句信息,隐私数据脱敏功能正常。
其它操作
添加自定义脱敏规则后,您可以根据使用需求,对自定义规则执行以下操作:
- 禁用
- 在需要禁用的规则所在行的“操作”列,单击“禁用”,可以禁用该规则。禁用该规则后,系统将不能使用该数据脱敏规则。
- 编辑
- 在需要修改信息的规则所在行的“操作”列,单击“编辑”,在弹出的对话框中,修改规则信息。
- 删除
- 在需要删除的规则所在行的“操作”列,单击“删除”,在弹出的提示框中,单击“确定”,删除该规则。
