拖库检测——某些数据库自身使用阈值规则 防止拖库 还有一些多是基于审计日志来做

创建或编辑防拖库规则

HexaTier提供配置数据库防拖库规则和查看防拖库事件日志功能。用户设置针对指定表的防拖库规则后,在数据库用户、源IP地址和应用操作该表中的大量数据并超过规则设定的阈值后,HexaTier将会向管理员发出告警,并将该事件记录至防拖库日志中,协助用户避免数据泄露。

在创建指定表的防拖库规则后,当来自数据库用户、源IP地址和应用对该表的数据操作数量超过规则设置的阈值后,HexaTier会产生告警,并记录日志。

操作步骤

  1. 在HexaTier主菜单上,单击“防拖库”。
  2. 在导航树上,选择策略”。
  3. 根据需要执行以下操作:

     

    • 创建新的防拖库规则

      在命令栏上,单击“新建”。

    • 编辑已有的防拖库规则

      找到所要编辑的规则,然后单击

      该行末尾的(编辑)。

     

  4. 根据需要设置相关参数,然后单击“创建”或“更新”。

     

    表1 防拖库参数

    参数名称

    说明

    数据库

    确定此规则作用的数据库。

    名称

    该防拖库策略的名称。

    源IP地址

    通过设置该参数,用户可以将规则应用于来自任何IP的查询,或仅应用于来自特定IP地址、IP范围或IP地址组的查询。用户可以单击“新建”来创建新的源IP地址或IP范围。

    数据库用户名

    通过设置该参数,用户可以将规则应用于来自任何数据库用户的查询,或仅应用于特定用户或用户组的查询。

    活动目录用户

    通过设置该参数,用户可以将规则应用于来自任何活动目录用户的查询,或仅用于特定活动目录用户或用户组的查询。

    说明:

    只有配置了活动目录之后,该参数才会显示,配置活动目录的详细信息,请参见配置活动目录

    应用名称

    通过设置该参数,用户可以将规则应用于来自任何应用的查询,或者来自特定应用或应用组的查询。

    应用该防拖库规则的表。如果需要,可以通过单击“新建”使用新表向导添加新表。

    操作行数阈值

    对规则指定的表,当操作的行数超过限定值时,该事件将会被记录至防拖库日志中。

    同时生成(SMTP)告警

    当该规则定义的事件发生时,通过电子邮件发送告警。

    要使用该选项,请确保告警已正确配置,且已启用。

    Syslog

    每次激活规则时,会向Syslog服务器发送一条消息。要配置Syslog,请参见配置Syslog

    说明

    该防拖库规则的备注信息。

    禁用规则

    勾选复选框可以禁用该规则。

posted @ 2020-03-15 18:10  bonelee  阅读(604)  评论(0编辑  收藏  举报