规则配置

最近更新时间:2019-07-30 10:22:50

规则配置可定义 CDS-Audit 实例的安全规则。
CDS-Audit 具备两个默认规则,AI 引擎规则和 CVE 引擎规则,默认规则不可删除、不可编辑。下面将为您详细介绍配置操作。
以审计管理员账号登录数据安全审计管理页面,在左侧导航栏中单击【审计配置】>【规则配置】即可进入规则配置页面。

新建规则

如需自定义规则满足个性化审计需求,单击【添加规则】按钮,进入新建规则页面,填写规则名称等,单击【保存】即可。
特别提醒:

  • 规则配置支持同一规则配置多个条件,多个条件之间为 “与” 关系,必须全部匹配才能够触发规则和告警。
  • 自定义规则默认为黑名单,触发后将产生告警并且记录入库。如果管理员需要节省 CDS-Audit 实例的存储空间,指定部分操作行为不记录不入库,可在规则中指定相关操作后,选择 “不入库 DB”选项,并且将告警选型都取消。

以上操作完成后,即可实现白名单类型规则配置,减少误报、减轻 CDS-Audit 实例存储压力。

修改规则

单击需要修改的规则操作栏的【修改】,修改信息后单击【保存】即可。
2

删除规则

单击需要删除的规则操作栏的【删除】,再单击询问窗【确定】即可。
3

规则示例

单击【新增规则】,按下图配置规则,表名和阈值根据您的业务场景自行设定,单击【保存】即可。

规则配置建议

以下三个建议规则仅作为示例,用户可根据自身业务自行配置。

  • 防爬取规则:防止使用例如 select 操作语句,爬取表数据。

    注意:

    影响行数可以根据业务自行配置。

  • 慢查询发现规则:检查执行时间较长的 SQL 语句,便于进行优化。

    注意:

    执行时间可以根据业务自行配置。

  • 危险操作规则:检查执行 delete、drop、alter 等类型的高危 SQL 语句。