- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
-
用户指南
- 总览
- 开通并使用数据库安全审计(安装Agent)
- 开通并使用数据库安全审计(免安装Agent)
- 开通并使用数据库安全加密
- 开通并使用数据库安全运维
- 升级数据库审计实例版本
- 配置审计规则
- 查看审计结果
- 通知设置管理
- 查看监控信息
- 备份和恢复数据库审计日志
- 其他操作
- 云审计服务支持的关键操作
- 监控
- 共享VPC
- 数据库安全加密管理
- 数据库安全运维管理
- 权限管理
- 最佳实践
- API参考
- 场景代码示例
-
常见问题
-
产品咨询类
- 什么是数据库安全审计?
- 数据库安全审计和RDS SQL审计有什么区别?
- 数据库安全服务支持哪些性能规格?
- 数据库安全服务可以对华为云上的哪些数据库提供保护?
- 数据库安全服务支持哪些类型的数据库?
- 哪些区域可以使用数据库安全服务?
- 为什么购买实例后不能马上查看创建中的实例?
- 数据库安全服务上传日志是通过公网的带宽还是内网的带宽?
- 数据库安全服务到期后不续费会影响业务吗?
- 如何获取数据库安全服务销售许可证?
- 数据库安全审计是否支持审计云下数据库和非华为云上数据库?
- 什么是区域和可用区?
- 数据库安全服务是否支持数据实时脱敏?
- 购买DBSS服务后添加的数据库不在同一子网有什么影响?
- DBSS服务审计实例网关IP有限制吗?
- 购买类
-
数据库安全审计功能类
- 数据库安全审计可以跨区域使用吗?
- 数据库安全审计可以跨可用区使用吗?
- 数据库安全审计(旁路模式)是否会影响业务?
- 数据库安全审计支持多个账号共享使用吗?
- 数据库安全审计可以应用于哪些场景?
- 支持的数据库类型
- 数据库安全审计支持数据库部署在哪些操作系统上?
- 数据库安全审计支持双向审计吗?
- 数据库安全审计可以审计不同VPC的数据库吗?
- 数据库安全审计支持TLS连接的应用吗?
- 数据库安全审计的审计数据可以保存多久?
- 数据库安全审计发生异常,多长时间用户可以收到告警通知?
- 每天发送告警总条数与每天收到的邮件数是相同的吗?
- 为什么不能在线预览数据库安全审计报表?
- 在业务侧使用中间件会影响数据库安全审计功能吗?
- DBSS服务能否对第三方工具执行的SQL语句进行捕捉?
- DBSS服务是否支持线下部署?
- 数据库安全服务实例所属VPC是否可以更改?
- 如何对接DBSS服务审计的数据?
- 云服务首页提示DBSS服务预测容量不足如何处理?
- 一个数据库安全审计实例可以审计多少个数据库实例?
-
数据库安全审计Agent相关
- 数据库安全审计的Agent提供哪些功能?
- 数据库安全审计的Agent可以安装在哪些Windows操作系统上?
- 数据库安全审计的Agent可以安装在哪些Linux操作系统上?
- 数据库安全审计Agent的进程名称是什么?
- (Linux操作系统)安装Agent时没有安装脚本执行权限,如何处理?
- (Linux操作系统)数据库安全审计Agent客户端日志保存在哪里?
- 添加Agent时,在什么场景下需要选择“选择已有Agent”添加方式?
- 当数据库安全审计Agent的运行状态为“休眠中”时,如何处理?
- 待审计的RDS如果连接了多台ECS,如何部署Agent?
- 如何选择数据库安全审计的Agent安装节点?
- 如何运行数据库安全审计Agent程序?
- 如何查看数据库安全审计Agent的运行状态?
- 如何下载数据库安全审计的Agent?
- 如何卸载数据库安全审计Agent程序?
- 如何修改Agent的CPU和内存的阈值?
- 如何安装Agent(Linux操作系统)?
- 如何安装Agent(Windows操作系统)?
- 如何处理Agent与数据库安全审计实例之间通信异常?
- Agent运行时会消耗安装节点多少资源?
- Agent安装失败如何处理?
- Agent安装报错“unsupport this Linux version, please check your Linux version with install document!”如何解决?
- 数据库安全审计操作类
- 数据库安全审计故障排查类
- 日志类
-
产品咨询类
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
添加SQL策略
系统已经内置策略组和策略,您可以根据需求添加自定义的SQL策略。
背景信息
自定义策略包含功能如下:
- 支持对缺省数据库策略组进行编辑和删除操作。
- 支持对自定义策略组进行添加、编辑和删除操作。
- 支持对策略组的规则进行添加、删除、编辑、上移、下移操作。
- 可根据自身业务场景对资产信息、目标信息、访问信息进行策略配置。
操作步骤
- 使用系统管理员sysadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择“策略防护 > 策略定义”,并在策略定义页面,单击“SQL策略”页签。
- (可选)如需新增策略组,请按照如下步骤操作。
- 在策略组列表区域,单击“添加策略组”。
- 设置策略组基本信息,并单击“确定”。
图1 添加策略组
表1 添加策略 参数
说明
名称
自定义策略组名称。
基于
可选新建或基于:- 新建:创建一个空白策略组。
- 基于:选择其他策略组(例如缺省MySQL策略)作为模板,在其基础上进行编辑。
- 创建完成后,单击策略组名称,修改策略信息,单击右上角的“保存”。
图2 策略信息
- 在策略组中添加新策略。
- 鼠标移动到目标策略组,单击
添加目标。
图3 添加策略按钮 - 设置策略名称和类型,单击“确定”。
图4 添加策略
表2 添加策略 参数
说明
名称
自定义策略名称。
类型
- 可选择默认、优先级、白名单和黑名单四种类型:
- 黑名单:访问阻断。
- 白名单:访问通过。
- 优先级:策略匹配先于默认类型,默认访问通过,可自行修改。
- 默认:默认访问通过,可自行修改。
- 策略类型的优先级顺序为:黑名单 > 白名单 > 优先级 > 默认。同一个类型则按顺序执行,有阻断则阻断。
- 可选择默认、优先级、白名单和黑名单四种类型:
- 单击策略组前面的
展开图标,查看策略。
图5 展开策略组 - 单击策略名称,在策略详情页面修改策略信息。
如果设置策略详情时要使用集合组,请先进行集合配置,详情参见管理集合配置。图6 修改策略详情
表3 策略详情 参数
说明
基本信息
风险等级
命中策略告警的级别。
响应动作
命中策略动作设置阻断或通过。
记录日志
命中策略是否记录日志。
锁定访问
响应动作为阻断时,可选择是否根据IP或用户锁定访问。
资产信息(源)
资产客户端IP
数据库客户端的IP。
主机名
数据库客户端的主机名。
操作系统用户
数据库客户端的操作系统用户名。
数据库用户
数据库客户端的访问数据库资产使用的用户名。
数据库用户组
数据库客户端的访问数据库资产使用的用户组。
资产客户端
数据库客户端工具。
资产客户端MAC
数据库客户端工具所在PC的MAC。
应用客户端IP
三层防护,应用端的IP。
应用用户组
三层防护,应用端的用户组。
时间组
时间段组。
应用用户
三层防护,应用用户。
目标信息
目标表
访问资产的表。
数据库
数据库信息。例如,MySQL数据库中的test模式,可以表示为mySQL.test。
影响行数
访问资产影响行数。
关联表个数
查询表个数。
字段
查询资产表的字段。
表组
查询的表组。
访问信息
访问次数
数据库客户端访问资产的次数。
执行时长
执行语句的时长。
请求状态
客户端请求的状态。
存储过程
访问的存储过程。
操作命令
客户端执行的命令类型。
特权操作
客户端特权操作。
查询组
查询语句组。
SQL字符串
客户端执行的SQL字符串。
操作语句
客户端执行的操作语句。
SQL十六进制序列
客户端执行的SQL十六进制序列。
执行结果关键字
结果集关键字。
时间选择
策略执行的时间控制。
在策略详情中可以从多个维度设置策略信息,包括策略基本信息、资产信息、目标信息、访问信息和时间等。
例如,您可以如上图设置,表示禁止root用户访问数据资产。
- 单击右上角的“保存”,保存策略信息。
- 鼠标移动到目标策略组,单击
- (可选)如果需要调整策略的优先级,将鼠标放到策略上,单击
或者
进行上移或者下移。
图7 调整策略优先级顺序说明:
策略优先级顺序为:“黑名单 > 白名单 > 优先级 > 默认”,同一类型的越上面,优先级越高。仅支持同一种类型之间进行上、下移动。
- 使配置生效。
- 在左侧导航栏,选择“策略防护 > 策略设置”。
- 勾选“启用SQL策略”。
- 单击
编辑图标,勾选目标策略组,单击“确定”。
- 单击“策略应用”。
更多信息,请参见管理基本配置。
相关操作
除了新增操作外,系统还支持对策略组和策略进行以下管理操作:
- 策略组:
- 编辑策略组:鼠标移动到策略组,单击
,修改策略组名称。
- 删除策略组:鼠标移动到策略组,单击
,删除策略组。
- 复制策略组:鼠标移动到策略组,单击
,复制整个策略组。
- 编辑策略组:鼠标移动到策略组,单击
- 策略:
- 编辑策略信息:单击策略名称,修改策略信息。
- 编辑策略:鼠标移动到策略,单击
,修改策略名称。
- 复制策略:鼠标移动到策略,单击
,复制整个策略。
- 删除策略:鼠标移动到策略,单击
,删除策略。