黑盾安全审计产品售后专题培训课件.ppt

1、黑盾安全审计产品售后培训福建省海峡信息技术有限公司 产品中心索引1.引言2.产品架构3.用户管理4.系统配置5.规则管理6.响应对象7.资源提取8.引擎配置9.最近访问10.审计浏览11.实例演示12.使用FAQ1.引言主要介绍黑盾安全审计系统（HD-SAS）产品的入门使用、体系结构、系统管理、基本配置方法、系统维护等注注：下文中涉及到“黑盾安全审计系统”名称均用HD-SAS替代。2.产品架构2.1.架构设计2.2.运作流程2.3.管理方式2.1.架构设计HD-SAS的审计引擎（Agent）通过旁路监听的方式接入网络，通过在核心交换机上设置端口镜像模式或采用TAP分流监听模式，使安全审计引擎能

2、够监听到所有用户通过交换机与数据库进行通讯的所有操作HD-SAS的审计数据中心（DC）具有强大的数据分析和事件关联功能，可以对审计数据库进行关联分析，是整个系统的计算和处理中心。HD-SAS的审计配置中心（CC）具有对审计系统进行集中配置与管理的功能。HD-SAS的审计展示中心（VC）具有接受用户的查询与浏览指令，并对审计结果进行集中输出的功能 2.2.运作流程运作流程2.3.管理方式目前，对HD-SAS的所有配置工作采用B/S 架构模式，通过web管理，只要您的管理主机具有主流浏览器，并可以与审计中心正常连接，即可进行管理。【范例】：比如在安全审计中心本地机型管理，只需要在浏览器地址栏中输入

3、地址：https:/127.0.0.1【注注】：目前支持的浏览器类型有：目前支持的浏览器类型有IE6.0IE6.0以上，以上，Firefox2.0Firefox2.0以上，以上，googlegoogle浏览器浏览器。【注注】：支持远程操作，只要操作机可以与安全中心通信，并安装安装包。：支持远程操作，只要操作机可以与安全中心通信，并安装安装包。3.用户管理3.1.权限划分3.2.用户管理3.3.密码修改3.4.账户安全3.5.用户登录3.1.权限划分账户管理员（账户管理员（accacc）系统配置员（系统配置员（syssys）系统审计员（系统审计员（auditaudit）系统安全员（系统安全员（s

4、ecsec）3.2.用户管理3.2.1.登录3.2.2.用户组管理3.2.3.用户管理3.2.1.登录用户管理员角色用户（acc/acc），通过web登陆，进入“用户管理”界面进行 3.2.2.用户组管理点击用户组列表，可以进行用户组的增删改操作，以及权限分配操作 点击：进 入添加用户组的操作3.2.2.用户组管理输入用户组名和描述，在“功能权限”中，选择该用户组可以操作的功能权限模块。设置成功后，点击“确定”生效，或者“取消”。如果添加成功，会跳出提示框：3.2.2.用户组管理3.2.3.用户管理(1)点击用户列表，可以进行用户组的增删改操作，以及权限分配操作，可以看到该用户的启用状态 3.

5、2.3.用户管理(2)点击：“添加用户”进入添加用户组的操作：3.3.密码修改登陆成功后，用户可以修改自己的密码，点击GUI主界面右上角的图标：或者点击web界面的图标：用户管理员角色用户，可以修改用户名和密码。通过web登陆进入用户管理界面进行修改。3.4.账户安全在每个登陆页面（GUI）都可以显示当前登录用户，以便及时发现。“多次失败登录强制退出锁定系统”，“超时注销时间”3.5.用户登录(1)Web登录，在浏览器中输入审计中心地址即可，然后输入用户名/密码，用户名和密码请联系用户管理员：3.5.用户登录(2)GUI登录，需要通过客户端软件进行登录，输入审计中心的地址与端口，用户名/密码。

6、4.系统管理4.1.系统配置4.2.报表管理报表管理4.2 告警管理4.4.配置备份4.5.升级管理点击“系统管理”下的“系统配置”4.1.系统配置（1）可以看到如右图界面所有参数填写无误后，点击：即可生效。4.1.系统配置（2）4.2.服务管理进入“报表配置”，可以对审计中心上的审计报表进行相关管理。4.2.报表管理进入“告警设置”，可以对一些告警方式进行配置，如下图所示 4.3.告警管理选择4.4.配置备份（1）点击配置备份4.4.配置备份（2）4.4.配置备份（3）选择 输入备注信息：4.4.配置备份（4）选择 即可通过把保存在本地的备份记录导入到系统。4.4.配置备份（5）选择，即可把

7、备份的信息下载本地计算机。选择，即可把备份的信息重新恢复到系统中去。选择，即可把选中的备份记录删除。选择，即可把当前配置回复到系统默认状态在web管理界面，选择“升级管理”的“版本升级”4.5.升级管理5.规则管理5.1.审计规则5.2.入侵检测规则5.3 编码策略5.4 系统日志预警点击规则管理，界面如图所示5.1审计规则（1）选择 进入添加规则界面 5.1审计规则（2）审计规则实例（如设置客户端地址）1、在本行的 通过下拉菜单，可以选择已经存在的地址对象；2、然后点击 添加即可 3、如果是要多个对象，则选择前面的对象逻辑预算方法 然后再次添加对象即可；（如下页图所示）4、点击 进入更多的内

8、容设置5.设置完毕确认，通过 生效，返回，规则即出现在规则列表中。6.继续添加更多的规则。5.1审计规则（3）对已经存在规则，选择对应的规则项目，选择 ，进入规则修改界面。5.1审计规则（4）对已经存在规则，选择对应的规则项目 选择 通过第二次确认 点击 生效，返回。5.1审计规则（5）通过web界面，选择某条规则，不放开鼠标，进行拖曳即可完成对规则的排序。5.1审计规则（6）选择一条或者多条规则，然后点击 ，输入备份信息。点击完成生效，关闭返回。5.1审计规则（7）选择导入规则，出现备分原文件选择窗口选择“浏览”，确定备份文件位置，点击 导入完成。5.1审计规则（8）对配置好的规则，可以有选

9、择的运用到其他的引擎上去。点击 分发规则，即可弹出可用的引擎项目。点击确定 生效。在规则列表中即可看到该规则的生效情况。5.2入侵检测规则（1）打开“入侵检测规则”，如下图 5.2入侵检测规则（2）在“引擎：”中选择对应的引擎，然后选择相应的攻击规则，单击“规则生效”按钮就可以将入侵检测规则应用于引擎中。5.3编码策略（1）打开“编码策略”，在右边界面中单击“添加”按钮，如下图所示：5.3编码策略（2）在“目标IP”中输入存在乱码问题的审计记录的目标IP信息在“描述”中输入自定义的描述信息；在“协议类型”中选择输入存在乱码问题的审计记录的协议类型字段的信息；在“编码类型”中选择对应的编码类型。

10、5.4系统日志预警（1）打开“系统日志预警”页面，5.4系统日志预警（2）然后，选择某个记录，单击“编辑”选择对应“预警动作组”。6.对象管理6.1.响应对象6.1.1 告警策略6.2 基本对象6.2.1支持对象类型6.2.2对象管理操作6.1 响应对象进入对象管理界面对象管理包括响应对象和基本对象 6.1.1告警策略设置添加预警动作组：进入6.2 基本对象进入基本对象管理界面基本对象包含支持对象类型和对象管理操作 6.2.1支持对象类型进入基本对象管理界面：可以看到目前支持的对象类型有：6.2.2对象管理操作选择想要管理的对象，比如地址池，即可进行地址池列表的查看。选择 即可进入7 资源提取

11、（1）本功能是显示对当前业务网络中的所有数据库资源进行自动提取，并设置中文映射的功能。通过 进入界面。7.资源提取（2）以“程序名提取”为例，其他类似点击 进入界面：7.资源提取（3）可以通过 显示每页显示具体信息条数。您可以对每条信息进行中文的映射处理，双击即可：7.资源提取（4）设置完毕，点击：生效，或者 取消。可以在其它的浏览信息的界面看到 该字段被中文备注了。7.数据库名提取（5）点击数据库用户名提取进入界面：7.系统用户名提取（6）点击系统用户名提取进入界面7.执行结果代码提取（7）点击执行代码结果提取 进入界面8.引擎管理5.1.引擎列表5.2.引擎管理8.1.引擎列表在web界面

12、的“引擎管理”中进入“引擎列表”：添加引擎：实际使用几台引擎，就添加几台引擎。点击8.2 引擎管理8.2.1.引擎配置向导8.2.2.引擎网络配置8.2.3.引擎系统管理8.2.4.恢复默认配置8.2.5.监听网卡设置8.2.6.监听数据库设置8.2.7 行为审计配置8.2.9 查看引擎信息8.2.1引擎配置向导（1）打开引擎配置界8.2.1引擎配置向导（2）选择“配置向导”，即可进入引擎的配置向导页面，通过向导提示可以顺利完成对引擎的配置工作 8.2.2.引擎网络配置（1)选择存在的引擎图标，进行对该引擎的管理。比如选择：sas42这个引擎即可进入管理页面8.2.2.引擎网络配置（2）选择“

13、网络管理”。即可进入网卡列表添加IP地址：选择任意一个网卡，通过即可进入 8.2.2.引擎网络配置（3）选择某个网卡，点击 则弹出提示IP生效成功。8.2.3.引擎系统管理进入“引擎配置”的“系统管理”通过这几个按钮，可以远程对引擎的服务状态的启动与/停止，引擎硬件的关闭/重启。【注】：如果选择停止服务或者关闭引擎会造成审计丢包，请谨慎。8.2.4.恢复默认配置点击恢复默认配置点击恢复系统默认配置8.2.5.监听网卡设置进入“引擎配置”的“监听网卡设置”：【注】：监听网卡就是连接交换机镜像口或者TAP口的网口。8.2.6.监听数据库设置进入“引擎配置”的“监听数据库设置”：按照提示信息与网络实

14、际情况设置需要监听的数据IP地址与端口信息。【注】：用户名/密码不用设置，后台已经设置好。【注】：缺省动作是指：在采集过滤规则中默认规则的动作，“保存”即规则匹配完毕的数据保存入库处理，“丢弃”即规则匹配完毕的数据丢弃处理8.2.7 行为审计设置进入“行为审计设置”的“IP设置”：按照提示信息与网络实际情况设置需要监听的行为审计IP地址与端口信息。【注】提示：若要监听多个IP或多个端口，不同端口或IP用逗号分隔，IP地址的填写格式为：1.1.0.0/24或1.1.1.08.2.9 查看引擎信息进入“系统信息”进入“进程管理”9.最近访问在web管理界面，保存最近的几次操作的快捷方式点击“最近访

15、问”下面的快捷连接即可。10.审计浏览10.1.数据库审计10.2.审计报表10.3.行为审计10.4.攻击审计10.5.系统帮助 10.1数据库审计10.1.1 实时审计10.1.2 综合查询10.1数据库审计数据库审计界面10.1.1 实时审计（1）本功能主要完成对审计结果的及时察看，主要包括对预警结果，当前数据库会话，以及审计数据的查看。当登录审计浏览时候，默认是打开“实时审计”页面，也可以通过左边的参考栏单击“实时审计”切换到实时审计页面，如下图所示：10.1.1 实时审计（2）您可以通过 对当前数据进行手动刷新，或者通过 和 和刷新时间 进行自动刷新的启动设置。为每页默认显示的信息条

16、数。【注】：为了获取更好的性能，请不要设置太大的每页显示条数值，一半设置为50条左右为佳。10.1.1 实时审计（3）用户可以看到报警级别，报警级别在审计规则自己定义的若没有做报警规则，报警级别默认为普通。如图所示10.1.1实时审计（4）您可以通过 对展示结果进行有选择的筛选展示：10.1.1.实时审计（5）双击每条SQL语句，都可以出现该条语句的详细信息提示框。10.1.2.综合查询（1）本功能是对审计中心后台库中的所有的数据审计数据进行查询的操作。您可以通过 进入界面如下图所示：10.1.2综合查询（2）在底部的 ，可以对查询结果excel导出，便于数据的分析和管理。10.1.2综合查询

17、（3）在右边的详细列表记录中，任选一条记录左键双击 ，即可弹出该条记录的“详细内容”，如图所示：10.1.2综合查询（4）在上边的查询条件中可以输入即可的常用对审计数据的查询条件。“操作事件范围”：通过下拉菜单选择数据库操作发生的日期/时间范围。“源IP”：填写数据库操作发生的源IP地址。10.1.2.综合查询（5）“目标IP”：填写数据库操作发生的对应目标IP地址。“表名”：填写数据库操作发生对应的表名。“操作方式”：填写数据库操作发生对应的操作方式。“数据库用户名”：填写数据库操作发生的数据库用户名。“操作内容”：填写数据库操作的具体内容关键词。10.1.2.综合查询（6）或者您可以点击

18、进入更多的高级查询选项：10.1.2.综合查询（7）“数据库名”：填写数据库操作对应的数据库名。“计算机名”：填写数据库操作对应的计算机名。“程序名”：填写数据库操作对应的程序名。“执行时长”：填写数据库操作对应的程序名。“影响条数”：填写数据库操作对应的sql操作所对应的影响条数。10.1.2.综合查询（8）“执行结果”：填写数据库操作对应的sql操作结果，即成功、失败、未知等。“引擎别名”：填写数据库操作对应的引擎别名。“数据库类型”：填写数据库操作对应的数据库类型。“返回代码”：选择数据库服务器返回的错误代码信息；10.1.2.综合查询（9）“关联表数”：填写操作内容中关联的表的数目；“

19、返回结果大小”：填写数据库服务器响应客户端操作时返回的内容的大小。“源MAC”：填写预警事件发生的对应源MAC地址“目标MAC”：填写预警事件发生的对应目标源MAC地址 10.1.2.综合查询（10）您还可以通过 决定输出信息栏具体需要出现的字段列，每页显示的条数，按照时间的升序/降序排列，是否显示绑定变量值：10.2.审计报表10.2.1 报表任务10.2.2 报表展示10.2.1报表任务（1）报表任务是指根据用户的需要设置报表结果所要包含的内容的计划，该计划可以是一次性的，也可以是周期性的，生成的报表结果可以是趋势报表或统计排名报表。10.2.1.报表任务（2）点击 进入界面 10.2.1

20、.报表任务（3）界面上方对已制定的报表任务进行查询条件的设置，包括报表类型、制定时间及关键字条件。“新建任务”：单击界面右下方的“新建任务”按钮，弹出如下所示的报表任务类型选择的窗口，根据需要，我们可以选择“周期性任务”或“一次性任务”，两者的区别在于“一次性任务”需要设置“生成报表的数据取自”的时间范围，同时一次性任务只对当天之前的审计数据有效。同时在该窗口中可以选择对应的报表类型。10.2.1.报表任务（4）10.2.1.报表任务（5）“周期性任务”，周期的时间间隔为日、周、月、年，为固定的。10.2.1.报表任务（6）“一次性任务”如下图所示，对于一次性任务需要设置“生成报表的数据取自”

21、的时间范围。10.2.1.报表任务（7）“数据库访问量跟踪类报表”需要选择具体的统计对象，目前只支持各个对象之间“并且”的组合条件的统计。10.2.1.报表任务（8）“特权操作跟踪类报表”，主要包括对一些特权操作，比如GRANT、REVOKE、CREATE、ALTER等进行跟踪和报表展示。10.2.1.报表任务（9）“生命期跟踪类报表”主要指某个时间范围内，某个对象的创建、修改、删除等操作的跟踪审计而生成相应的报表。10.2.2.报表展示（1）报表展示是指将已经完成的报表任务的结果展示出来点击 进入界面：在上方可以输入需要查询的报表的条件。10.2.2.报表展示（2）通过双击具体的报表记录或者

22、选中某个报表记录然后单击界面右下方的“报表查看”按钮，就可以查看报表的详细内容。10.2.2.报表展示（3）单击报表结果右下方的“打印”按钮，可以对报表进行打印10.2.2.报表展示（4）另外，可以对一些报表进行“深度分析”，即单位间隔更加细化。如下图所示 10.3.行为审计10.3.1 TELNET审计 10.3.2 FTP审计 10.3.3 SSH审计10.3.1 TELNET审计(1)打开 进入TELNET审计界面，然后设置查询条件对审计结果进行查询。10.3.1 TELNET审计(2)双击对应的会话可以对该会话进行回放。10.3.2 FTP审计（1）打开 ，进入FTP审计界面，然后设置

23、查询条件对审计结果进行查询。10.3.2 FTP审计（2）双击对应的会话可以对该会话进行回放。10.3.3.SSH审计打开 ，进入SSH审计界面，然后设置查询条件对审计结果进行查询。10.4.攻击审计10.4.1 ORACLE攻击审计 10.4.2 MSSQL攻击审计 10.4.1 ORACLE攻击审计打开“攻击审计”下的“ORACLE攻击审计”，设置相应的查询条件，对攻击审计记录进行查询。10.4.2 MYSQL攻击审计打开“攻击审计”下的“MSSQL攻击审计”，设置相应的查询条件，对攻击审计记录进行查询。10.5.系统帮助您可以通过 进入主界面，获取系统的一些版本信息与帮助信息。打开SAS

24、3.0安装的目录，找到下面图上的文件，双击11.数据管理（1）双击该文件后会弹出下图11.数据管理（2）查询回档的数据：11.数据管理（3）12.实例演示需求描述需求描述某张学生表里面存储了很多关键数据，只有指定的人员才可以对其进行查询操作，需要HD-SAS可以实现对谁查询了该表的行为进行记录，并进行邮件和声音告警。【注】：分析可知，该行为具有如下特征，一是操作方式是：select，二是操作对象表示：student。配置对象组配置对象组添加一个操作方式对象组“select”：添加一个操作表对象“student”：配置告警策略配置告警策略添加一个邮件动作“邮件”：添加一个预警动作组“告警”：配置

25、预警规则配置预警规则添加一条规则名为“查学生表”，并设置“启动预警”，级别为“严重”，预警动作组为“告警”。添加操作表为刚才设置好的对象“student”，操作方式对象为“select”：添加操作表非“student”对象，操作方式非“select”对象：添加操作表“student”对象和操作方式非“select”对象：浏览预警数据浏览预警数据通过GUI客户端登陆系统，进入 ，可见到所有当前触发本规则的数据。13.使用FAQ12.1.数据中心出现web页面打不开12.2.报表查不到数据 12.3.审计查询结果出现乱码12.4.查询不到任何审计数据12.5.无法连接引擎管理界面13.1.数据中心

26、出现web页面打不开问题概述：问题概述：数据中心有时会出现web页面打不开的情况。可能原因：可能原因：未加入可信任站点；WEB服务异常解决方案：解决方案：如果是原因（1）导致的，那么就将WEB管理站点加为可信任的；如果是原因（2）导致的，那么就刷新浏览器，还是不行的话则重启Apache服务。13.2.报表查不到数据问题概述：问题概述：在报表管理中，各种报表都无数据显示出来。可能原因：可能原因：各种报表统计时间为当天晚上，所以可能是未到后台自动统计设置的时间段，因此查不到数据；解决方案：解决方案：第二天再进行查询；在WEB管理页面的“系统管理”-“报表配置”页面中的“流量统计时间（小时）”进行设

27、置，比如设置为1点到23点。13.3.审计查询结果出现乱码问题概述：问题概述：审计浏览查询出来的记录的操作内容出现乱码或空的情况。可能原因：可能原因：显示时使用的编码不匹配；后台的解码程序还不支持该种编码方式；解决方案：解决方案：如果是原因（1）导致的，那么就在审计浏览的右上角（如下图所示）选择合适的编码然后再进行查询；如果是原因（2）导致的，那么就要用sniffer捕些数据包分析，然后增加对应的解码功能才可以解决。13.4.查询不到任何审计数据问题概述：问题概述：无法查询到任何审计数据产生。可能原因：可能原因：核心交换机的镜像口没有符合审计条件的数据；引擎和数据中心之间的通信出现异常；解决方案：解决方案：如果是原因（1）导致的，那么就要检查交换机上的镜像是否配置对，检查引擎的数据采集规则是不是准确的；如果是原因（2）导致的，那么就要检查下引擎和数据中心之间的通信是否正常，可以用PING、NETSTAT等进行检查。13.5.无法连接引擎管理界面问题概述：问题概述：引擎列表中双击某台引擎打不开引擎的管理页面。可能原因：可能原因：可能是使用形如http:/localhost来管理数据中心；解决方案：解决方案：请使用http:/进行数据中心管理，然后再链接到对应的引擎。