星瑞格数据库安全审计系统进阶——多层审计及违规行为自动预警分析

在上一期中，主要介绍了Sinoregal dbAudit弹性架构部署和特权用户追踪审计两大特点。本期主要围绕多层审计及Web user matching和违规行为自动预警两个特点进行探讨，包括：何为多层审计及Web user matching、违规行为自动预警、告警与告警管理、在线查看等。

违规行为自动预警

Sinoregal dbAudit提供自动预警功能，可依需求针对5W（人、事、时、地、物）设定异常事件、建立警示报表并发出告警通知。默认告警包含连机失败、非上班时段存取数据库、危险指令、高危险群(黑名单)用户及大量数据访问通报。对于告警的发送可以通过email、短信，也可以通过Syslog或SNMP方式发送给安全管理中心接收软件与安管平台整合。当然，对于告警的配置也相当简单，首先需设定报表字段与选择条件，然后设定发送条件，比如登录失败的告警发送条件为10分钟内发现有5次登录失败，即发送告警通知给管理员。

告警与告警通知管理

除了报表外，企业还可以通过告警通知及时得知发生了某项关注的数据访问活动，以及Sinoregal dbAudit的系统资源使用和系统性能等等告警信息。Sinoregal dbAudit默认提供两种告警方式：

审计告警：用于设置目标数据库数据访问活动相关的告警；

系统告警：用于设置dbAudit的访问活动和系统资源使用状况等的告警。

当然，除了默认告警外，企业还可以依据自己的需求，在审计告警或系统告警的各告警主题中自定义告警。

在线查看

Sinoregal dbAudit拥有在线查看功能，除了事件发生时通过告警通知通知相关人员外，也可以随时从告警清单上直接查看任一告警事件在某个时间段发生的事件。

在线查看方式：需先从清单页面选择欲查看的告警事件（例：数据库登录）并指定查看的时间段后，单击【检验】，系统将开启新标签页来显示该指定时间段内发生的告警事件。

多层审计及Web user matching

Sinoregal dbAudit支持三层式应用关联审计（如图所示），不用修改应用程序、不用加装软件于应用系统与终端用户环境，即可辨识终端用户的真实身份及其访问数据库的行为，自动关联找出SQL命令是由哪个终端用户所为，精准定位事件发生的源头。

Sinoregal dbAudit提供前端用户真实身份识别与关联数据库访问轨迹报表，可以追踪前端用户真实身份与数据库的访问轨迹，并关联应用端用户及其执行对应的SQL语句。

总结

Sinoregal dbAudit的多层审计特点，可以对企业的数据库审计无遗漏，而其丰富的告警方式，又可以让企业及时得知数据库发生了哪些异常数据访问活动。

本期，主要为大家介绍Sinoregal dbAudit的多层审计及Web user matching和违规行为自动预警两个特点，下期，我们将为大家介绍Sinoregal dbAudit的多维度线索分析及精准溯源，敬请期待！