黑盾安全审计产品售后培训福建省海峡信息技术有限公司产品中心索引1.引言2.产品架构3.用户管理4.系统配置5.规则管理6.响应对象7.资源提取8.引擎配置9.最近访问10.审计浏览11.实例演示12.使用FAQ1.引言主要介绍黑盾安全审计系统(HD-SAS)产品的入门使用、体系结构、系统管理、基本配置方法、系统维护等注:下文中涉及到“黑盾安全审计系统”名称均用HD-SAS替代。2.产品架构2.1.架构设计2.2.运作流程2.3.管理方式2.1.架构设计HD-SAS的审计引擎(Agent)通过旁路监听的方式接入网络,通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式,使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的所有操作HD-SAS的审计数据中心(DC)具有强大的数据分析和事件关联功能,可以对审计数据库进行关联分析,是整个系统的计算和处理中心。HD-SAS的审计配置中心(CC)具有对审计系统进行集中配置与管理的功能。HD-SAS的审计展示中心(VC)具有接受用户的查询与浏览指令,并对审计结果进行集中输出的功能2.2.运作流程运作流程HIS/ERP等Telnet,sqlplus等攻击或误操作SyBaseDB2SQLServerOracle协议分析审计查询存储管理会话审计实时审计审计预警采集过滤配置管理WhoWhenWhereWhathoW捕包2.3.管理方式目前,对HD-SAS的所有配置工作采用B/S架构模式,通过web管理,只要您的管理主机具有主流浏览器,并可以与审计中心正常连接,即可进行管理。【范例】:比如在安全审计中心本地机型管理,只需要在浏览器地址栏中输入地址:【注】:目前支持的浏览器类型有IE6.0以上,Firefox2.0以上,google浏览器。【注】:支持远程操作,只要操作机可以与安全中心通信,并安装安装包。3.用户管理3.1.权限划分3.2.用户管理3.3.密码修改3.4.账户安全3.5.用户登录3.1.权限划分账户管理员(acc)系统配置员(sys)系统审计员(audit)系统安全员(sec)3.2.用户管理3.2.1.登录3.2.2.用户组管理3.2.3.用户管理3.2.1.登录用户管理员角色用户(acc/acc),通过web登陆,进入“用户管理”界面进行3.2.2.用户组管理点击用户组列表,可以进行用户组的增删改操作,以及权限分配操作点击:进入添加用户组的操作3.2.2.用户组管理输入用户组名和描述,在“功能权限”中,选择该用户组可以操作的功能权限模块。设置成功后,点击“确定”生效,或者“取消”。如果添加成功,会跳出提示框:3.2.2.用户组管理3.2.3.用户管理(1)点击用户列表,可以进行用户组的增删改操作,以及权限分配操作,可以看到该用户的启用状态3.2.3.用户管理(2)点击:“添加用户”进入添加用户组的操作:3.3.密码修改登陆成功后,用户可以修改自己的密码,点击GUI主界面右上角的图标:或者点击web界面的图标:用户管理员角色用户,可以修改用户名和密码。通过web登陆进入用户管理界面进行修改。3.4.账户安全在每个登陆页面(GUI)都可以显示当前登录用户,以便及时发现。“多次失败登录强制退出锁定系统”,“超时注销时间”3.5.用户登录(1)Web登录,在浏览器中输入审计中心地址即可,然后输入用户名/密码,用户名和密码请联系用户管理员:3.5.用户登录(2)GUI登录,需要通过客户端软件进行登录,输入审计中心的地址与端口,用户名/密码。4.系统管理4.1.系统配置4.2.报表管理报表管理4.2告警管理4.4.配置备份4.5.升级管理点击“系统管理”下的“系统配置”4.1.系统配置(1)可以看到如右图界面所有参数填写无误后,点击:即可生效。4.1.系统配置(2)4.2.服务管理进入“报表配置”,可以对审计中心上的审计报表进行相关管理。4.2.报表管理进入“告警设置”,可以对一些告警方式进行配置,如下图所示4.3.告警管理选择4.4.配置备份(1)点击配置备份4.4.配置备份(2)4.4.配置备份(3)选择输入备注信息:4.4.配置备份(4)选择即可通过把保存在本地的备份记录导入到系统。4.4.配置备份(5)选择,即可把备份的信息下载本地计算机。选择,即可把备份的信息重新恢复到系统中去。选择,即可把选中的备份记录删除。选择,即可把当前配置回复到系统默认状态在web管理界面,选择“升级管理”的“版本升级”4.5.升级管理5.规则管理5.1.审计规则5.2.入侵检测规则5.3编码策略5.4系统日志预警点击规则管理,界面如图所示5.1审计规则(1)选择进入添加规则界面5.1审计规则(2)审计规则实例(如设置客户端地址)1、在本行的通过下拉菜单,可以选择已经存在的地址对象;2、然后点击添加即可3、如果是要多个对象,则选择前面的对象逻辑预算方法然后再次添加对象即可;(如下页图所示)4、点击进入更多的内容设置5.设置完毕确认,通过生效,返回,规则即出现在规则列表中。6.继续添加更多的规则。5.1审计规则(3)对已经存在规则,选择对应的规则项目,选择,进入规则修改界面。5.1审计规则(4)对已经存在规则,选择对应的规则项目选择通过第二次确认点击生效,返回。5.1审计规则(5)通过web界面,选择某条规则,不放开鼠标,进行拖曳即可完成对规则的排序。5.1审计规则(6)选择一条或者多条规则,然后点击,输入备份信息。点击完成生效,关闭返回。5.1审计规则(7)选择导入规则,出现备分原文件选择窗口选择“浏览”,确定备份文件位置,点击导入完成。5.1审计规则(8)对配置好的规则,可以有选择的运用到其他的引擎上去。点击分发规则,即可弹出可用的引擎项目。点击确定生效。在规则列表中即可看到该规则的生效情况。5.2入侵检测规则(1)打开“入侵检测规则”,如下图5.2入侵检测规则(2)在“引擎:”中选择对应的引擎,然后选择相应的攻击规则,单击“规则生效”按钮就可以将入侵检测规则应用于引擎中。5.3编码策略(1)打开“编码策略”,在右边界面中单击“添加”按钮,如下图所示:5.3编码策略(2)在“目标IP”中输入存在乱码问题的审计记录的目标IP信息在“描述”中输入自定义的描述信息;在“协议类型”中选择输入存在乱码问题的审计记录的协议类型字段的信息;在“编码类型”中选择对应的编码类型。5.4系统日志预警(1)打开“系统日志预警”页面,5.4系统日志预警(2)然后,选择某个记录,单击“编辑”选择对应“预警动作组”。6.对象管理6.1.响应对象6.1.1告警策略6.2基本对象6.2.1支持对象类型6.2.2对象管理操作6.1响应对象进入对象管理界面对象管理包括响应对象和基本对象6.1.1告警策略设置添加预警动作组:进入6.2基本对象进入基本对象管理界面基本对象包含支持对象类型和对象管理操作6.2.1支持对象类型进入基本对象管理界面:可以看到目前支持的对象类型有:6.2.2对象管理操作选择想要管理的对象,比如地址池,即可进行地址池列表的查看。选择即可进入7资源提取(1)本功能是显示对当前业务网络中的所有数据库资源进行自动提取,并设置中文映射的功能。通过进入界面。7.资源提取(2)以“程序名提取”为例,其他类似点击进入界面:7.资源提取(3)可以通过显示每页显示具体信息条数。您可以对每条信息进行中文的映射处理,双击即可:7.资源提取(4)设置完毕,点击:生效,或者取消。可以在其它的浏览信息的界面看到该字段被中文备注了。7.数据库名提取(5)点击数据库用户名提取进入界面:7.系统用户名提取(6)点击系统用户名提取进入界面7.执行结果代码提取(7)点击执行代码结果提取进入界面8.引擎管理5.1.引擎列表5.2.引擎管理8.1.引擎列表在web界面的“引擎管理”中进入“引擎列表”:添加引擎:实际使用几台引擎,就添加几台引擎。点击8.2引擎管理8.2.1.引擎配置向导8.2.2.引擎网络配置8.2.3.引擎系统管理8.2.4.恢复默认配置8.2.5.监听网卡设置8.2.6.监听数据库设置8.2.7行为审计配置8.2.9查看引擎信息8.2.1引擎配置向导(1)打开引擎配置界8.2.1引擎配置向导(2)选择“配置向导”,即可进入引擎的配置向导页面,通过向导提示可以顺利完成对引擎的配置工作8.2.2.引擎网络配置(1)选择存在的引擎图标,进行对该引擎的管理。比如选择:sas42这个引擎即可进入管理页面8.2.2.引擎网络配置(2)选择“网络管理”。即可进入网卡列表添加IP地址:选择任意一个网卡,通过即可进入8.2.2.引擎网络配置(3)选择某个网卡,点击则弹出提示IP生效成功。8.2.3.引擎系统管理进入“引擎配置”的“系统管理”通过这几个按钮,可以远程对引擎的服务状态的启动与/停止,引擎硬件的关闭/重启。【注】:如果选择停止服务或者关闭引擎会造成审计丢包,请谨慎。8.2.4.恢复默认配置点击恢复默认配置点击恢复系统默认配置8.2.5.监听网卡设置进入“引擎配置”的“监听网卡设置”:【注】:监听网卡就是连接交换机镜像口或者TAP口的网口。8.2.6.监听数据库设置进入“引擎配置”的“监听数据库设置”:按照提示信息与网络实际情况设置需要监听的数据IP地址与端口信息。【注】:用户名/密码不用设置,后台已经设置好。【注】:缺省动作是指:在采集过滤规则中默认规则的动作,“保存”即规则匹配完毕的数据保存入库处理,“丢弃”即规则匹配完毕的数据丢弃处理8.2.7行为审计设置进入“行为审计设置”的“IP设置”:按照提示信息与网络实际情况设置需要监听的行为审计IP地址与端口信息。【注】提示:若要监听多个IP或多个端口,不同端口或IP用逗号分隔,IP地址的填写格式为:1.1.0.0/24或1.1.1.08.2.9查看引擎信息进入“系统信息”进入“进程管理”9.最近访问在web管理界面,保存最近的几次操作的快捷方式点击“最近访问”下面的快捷连接即可。10.审计浏览10.1.数据库审计10.2.审计报表10.3.行为审计10.4.攻击审计10.5.系统帮助10.1数据库审计10.1.1实时审计10.1.2综合查询10.1数据库审计数据库审计界面10.1.1实时审计(1)本功能主要完成对审计结果的及时察看,主要包括对预警结果,当前数据库会话,以及审计数据的查看。当登录审计浏览时候,默认是打开“实时审计”页面,也可以通过左边的参考栏单击“实时审计”切换到实时审计页面,如下图所示:10.1.1实时审计(2)您可以通过对当前数据进行手动刷新,或者通过和和刷新时间进行自动刷新的启动设置。为每页默认显示的信息条数。【注】:为了获取更好的性能,请不要设置太大的每页显示条数值,一半设置为50条左右为佳。10.1.1实时审计(3)用户可以看到报警级别,报警级别在审计规则自己定义的若没有做报警规则,报警级别默认为普通。如图所示10.1.1实时审计(4)您可以通过对展示结果进行有选择的筛选展示:10.1.1.实时审计(5)双击每条SQL语句,都可以出现该条语句的详细信息提示框。10.1.2.综合查询(1)本功能是对审计中心后台库中的所有的数据审计数据进行查询的操作。您可以通过进入界面如下图所示:10.1.2综合查询(2)在底部的,可以对查询结果excel导出,便于数据的分析和管理。10.1.2综合查询(3)在右边的详细列表记录中,任选一条记录左键双击,即可弹出该条记录的“详细内容”,如图所示:10.1.2综合查询(4)在上边的查询条件中可以输入即可的常用对审计数据的查询条件。“操作事件范围”:通过下拉菜单选择数据库操作发生的日期/时间范围。“源IP”:填写数据库操作发生的源IP地址。10.1.2.综合查询(5)“目标IP”:填写数据库操作发生的对应目标IP地址。“表名”:填写数据库操作发生对应的表名。“操作方式”:填写数据库操作发生对应的操作方式。“数据库用户名”:填写数据库操作发生的数据库用户名。“操作内容”:填写数据库操作的具体内