4)选择受保护目标ORCL ,点击下角的应用:
5)选择某几条SQL,点击右上角的设置策略:
6)设置策略控制:操作Warn,日记记录级别:始终,威胁严重性:中等,点击保存。
7)可以在搜索框中输入过滤条件,比如SQL语句包含DUAL,点击开始进行搜索:
显示只包含DUAL的SQL:
选中这些SQL,设置策略控制:
8)设置默认规则:点击Default Rule
编辑默认策略,点击应用更改:
9)添加新规则:所有未见过的有关于BONUS,EMP,EMPLOYEES的DDL,DCL,DML语句都进行告警、每次都记录,威胁严重性为主要。
10)在策略控制/设置里面设置登录失败告警、无效语句策略等设置:
30s内连续2次登录失败,第三次将告警;针对无效的SQL语句进行告警:
注意:登录失败告警及无效SQL告警设置要生效,必须先激活数据库响应。(以管理账户avadmin登陆Audit Vault Server,在受保护目标Tab页面中,选择强制点/ORCLEP,启用数据库响应)
11)点击右上角的发布,新创建的策略就可以用于DBFW的监控了:
12)应用新创建的策略进行DBFW监控:在受保护目标Tab页面中,选择目标orcl,选择防火墙策略,点击更改:
选择新创建的策略,点击保存:
DBFW应用新的策略test进行监控:
下面主要看AVDF的几类内置报表:审计报告、相容性报告、及专用报告。(需要审计者账户登录avauditor登录AVServer https://AVServer_IP )
在报告Tab页面中,选择内置报告/审计报告,可以看到各种审计报告:
活动报告中包括常见的数据访问、数据更改、登录失败、用户Login/Logout、授权变化、受保护目标的启停机等11种报告。右边的三排按钮的功能分别是:浏览生成的报告、查看报告数据、Schedule报告。
以一个数据更改报告为例,用户可以在搜索框中输入相应条件来过滤自己感兴趣的内容:
- 在报告Tab页面中,选择内置报告/审计报告/预警报告:
2)点击All Alerts第二排按钮的查看报告数据:
- 先确保之前检索过用户授权:在受保护目标Tab页面中,选择目标/orcl,点击用户授权(如果上次检过时间为--,则点击右侧的检索用户受权数据)
- 在报告Tab页面中,选择内置报告/审计报告/授权报告:
- 点击User Accounts授权报告的第二排按钮查看报告数据:
- 先确保之前激活过存储过程审计:在受保护目标Tab页面中,选择目标/orcl,点击存储过程审计
- 在报告Tab页面中,选择内置报告/审计报告/存储过程审计报告:
- 点击Stored Procedure Activity Overview报告的第二排按钮查看报告数据:
相溶性报告包含:PCI报告、GLBA报告、HIPAA报告、SOX报告、DPA报告。
以PCI报告为例:
- 将受保护目标加入PCI组中:在受保护目标/管理/组中,选择PCI:
2)选中受保护目标,点击添加成员,然后点击保存:
这样受保护目标就可以生成PCI合规报表了。
3)在报告Tab页面中,选择相溶性报告/PCI报告,点击查看Data Modification的数据:
Data Modification(PCI)报告:
专用报告主要是跟DBFW相关的报告:策略报告和F5报告。策略报告中包括根据客户端IP行为追踪、OS用户行为追踪、告警、阻断及无效SQL报告。
- 客户端IP行为追踪
2)告警报告