拖库检测——某些数据库自身使用阈值规则 防止拖库 还有一些多是基于审计日志来做
创建或编辑防拖库规则
HexaTier提供配置数据库防拖库规则和查看防拖库事件日志功能。用户设置针对指定表的防拖库规则后,在数据库用户、源IP地址和应用操作该表中的大量数据并超过规则设定的阈值后,HexaTier将会向管理员发出告警,并将该事件记录至防拖库日志中,协助用户避免数据泄露。
在创建指定表的防拖库规则后,当来自数据库用户、源IP地址和应用对该表的数据操作数量超过规则设置的阈值后,HexaTier会产生告警,并记录日志。
操作步骤
- 在HexaTier主菜单上,单击“防拖库”。
- 在导航树上,选择
- 根据需要执行以下操作:
- 创建新的防拖库规则
在命令栏上,单击“新建”。
- 编辑已有的防拖库规则
找到所要编辑的规则,然后单击
该行末尾的(编辑)。
- 创建新的防拖库规则
- 根据需要设置相关参数,然后单击“创建”或“更新”。
表1 防拖库参数 参数名称
说明
数据库
确定此规则作用的数据库。
名称
该防拖库策略的名称。
源IP地址
通过设置该参数,用户可以将规则应用于来自任何IP的查询,或仅应用于来自特定IP地址、IP范围或IP地址组的查询。用户可以单击“新建”来创建新的源IP地址或IP范围。
数据库用户名
通过设置该参数,用户可以将规则应用于来自任何数据库用户的查询,或仅应用于特定用户或用户组的查询。
活动目录用户
通过设置该参数,用户可以将规则应用于来自任何活动目录用户的查询,或仅用于特定活动目录用户或用户组的查询。
说明:只有配置了活动目录之后,该参数才会显示,配置活动目录的详细信息,请参见配置活动目录。
应用名称
通过设置该参数,用户可以将规则应用于来自任何应用的查询,或者来自特定应用或应用组的查询。
表
应用该防拖库规则的表。如果需要,可以通过单击“新建”使用新表向导添加新表。
操作行数阈值
对规则指定的表,当操作的行数超过限定值时,该事件将会被记录至防拖库日志中。
同时生成(SMTP)告警
当该规则定义的事件发生时,通过电子邮件发送告警。
要使用该选项,请确保告警已正确配置,且已启用。
Syslog
每次激活规则时,会向Syslog服务器发送一条消息。要配置Syslog,请参见配置Syslog。
说明
该防拖库规则的备注信息。
禁用规则
勾选复选框可以禁用该规则。