中国体育彩票开奖是表示检测到异常或违反策略规则的消息。
中国体育彩票开奖以两种方式触发:
  • 相关中国体育彩票开奖 is triggered by a query that looks back over a specified time period to determine if alert threshold has been met. The 卫报 Anomaly Detection Engine runs correlation queries 上 a scheduled basis. 通过 default, 相关中国体育彩票开奖s do not log policy violations, but they can be configured to do that.
  • 实时中国体育彩票开奖 由安全策略规则触发。 卫报 Inspection Engine组件在实时收集和分析数据库流量时运行安全策略。

IBM 卫报 –保护–数据库入侵检测–中国体育彩票开奖生成器

创建关联中国体育彩票开奖

  1. 请点击   保护  > 数据库入侵检测 > 中国体育彩票开奖生成器 to open the 中国体育彩票开奖查找器.
  2. 请点击   在“中国体育彩票开奖查找器”面板中显示  添加提醒  panel.
  3. 在“设置”窗格中:
    1. 在名称框中输入中国体育彩票开奖的唯一名称。中国体育彩票开奖名称中不要包含撇号字符。
    2. 在“描述”框中输入描述中国体育彩票开奖的简短句子。
    3. 在类别框中输入一个可选类别。
    4. 在分类框中输入一个可选的分类。
    5. 对于“推荐操作”,用户可以添加自由文本作为特定中国体育彩票开奖的推荐操作。
    6. 与实时中国体育彩票开奖一样,如果阈值中国体育彩票开奖触发,用户可以为发送的消息选择模板。该模板使用预定义的变量列表,这些变量将替换为特定中国体育彩票开奖的适当值。全局配置文件帮助主题的“命名模板”部分详细介绍了变量列表和默认模板。
    7. 从“严重性”列表中选择严重性级别。对于电子邮件中国体育彩票开奖,设置为HIGH将导致电子邮件被标记为HIGH。
    8. 在“运行频率”字段中输入两次查询运行之间的分钟数。
    9. 检查一下   活性  激活中国体育彩票开奖,或清除框以保存中国体育彩票开奖定义而不启动它(以后可以激活)。在Central Manager环境中,标记(或清除)此复选框后,将在所有受管单元上激活(或停止)中国体育彩票开奖。要在Central Manager环境中的特定设备上禁用中国体育彩票开奖,请使用管理员控制台的“异常检测”面板。
    10. 检查一下  违反日志政策 to log a policy violation when this alert is triggered. 通过 default, 相关中国体育彩票开奖s are logged in the Alert Tracking domain 上 ly. 通过 marking this box, 相关中国体育彩票开奖s and 实时中国体育彩票开奖s (issued by the data access security policy) can be viewed together, in the Policy Violations domain.
    11. 检查一下  在部署运行状况仪表板上查看 如果要将此中国体育彩票开奖包含在部署运行状况仪表板中。
  4. 在“中国体育彩票开奖定义”面板中:
    1. 选择要为此中国体育彩票开奖运行的查询。显示的查询列表包括所有已定义的查询:
      • 至少包含一个日期字段(时间戳)–必须输入一个时间戳字段
      • 包含一个计数字段–一个计数字段是必需的
      • 可以通过您的Guardium用户帐户访问
    2. 如果所选查询包含运行时参数,则“中国体育彩票开奖定义”窗格中将出现“查询参数”面板。提供适合您的应用程序的参数值。
      故障排除技巧

      • 如果在任何情况下创建了自定义查询 查询报告 生成器,它不会出现在查询列表中,然后确保自定义查询具有时间戳(日期字段)。
      • 从“添加中国体育彩票开奖”屏幕的“中国体育彩票开奖定义”面板中的“查询”列表中选择一个查询后,需要编辑查询(“编辑”图标),并且无法编辑该查询,然后转到 查询报告 构建器来编辑查询。
    3. 在“累积间隔”框中,输入查询应在审核存储库中检查的时间间隔的长度(以分钟为单位),从当前时间开始倒数(例如,输入10以检查最后10分钟的数据)。
    4. 较早移动间隔窗口:GBDI数据无法立即获得。使用此字段可将累积时间间隔以分钟为单位向后移动,以便查询的整个时间间隔都具有数据。通常120分钟就足够了。
      注意:  在聚合器上运行的中国体育彩票开奖仅基于定义的合并期内的数据。
    5. 检查  记录完整查询结果 框以将完整的报告与中国体育彩票开奖一起记录。
  5. 如果所选查询包含一列或多列数值数据,请选择这些列之一用于测试。默认值(将是列出的最后一项)是查询的最后一列,该列始终是该行中汇总的出现次数。
  6. In the Alert Threshold pane, define the threshold at which a 相关中国体育彩票开奖 is to be generated, as follows:
    • 在“阈值”字段中,输入一个适用的阈值,如面板中其余字段所述。
    • 在“中国体育彩票开奖条件值”列表中,选择一个操作员,该操作符指示如何将报告值与阈值相关以产生中国体育彩票开奖(大于,大于或等于,小于等)。
    • 如果阈值数适用于报告总数,则选择每个报告;如果阈值适用于报告的单行,则选择每行(报告是所选查询的输出,通过回顾指定的累积时间来运行)。
      如果在指定的累积间隔内没有数据:
      如果阈值是每个报告,则该时间间隔的值为0(零),并且如果满足阈值条件(例如,如果指定的条件是“当value为 < 1”).
      如果阈值为每行,则无论指定条件如何,都不会生成中国体育彩票开奖(这是因为没有输出行)。
    • 选择  作为绝对极限 表示输入的阈值是绝对数字或选择 期间内的百分比变化 表示阈值代表在“从”和“到”字段中标识的时间段内的变化百分比。
      如果选择了“在期间内更改百分比”选项,请使用日期选择器控件选择“从”和“到”日期。
      如果选择了相对时间相同的“累计时间段”的百分比变化,将输入一个相对日期,中国体育彩票开奖将针对当前时间段和相对时间段(使用相同的间隔)执行查询,并且检查这些值是否占基本周期值的百分比。

      注意:  如果使用相对时间段,则每次检查中国体育彩票开奖时,它将执行两次查询,一次针对当前时间段,一次针对相对时间段。
  7. 在“通知频率”框中,指出满足中国体育彩票开奖条件时应多久(以分钟为单位)通知中国体育彩票开奖接收者。
  8. 请点击   保存中国体育彩票开奖定义。
    注意:  在保存定义之前,您无法分配接收者或角色,也不能输入注释。
  9. 在“中国体育彩票开奖接收器”面板中,可以选择指定一个或多个要满足此中国体育彩票开奖条件的人员或组。要添加接收器,请单击“添加接收器”按钮以打开“添加接收器选择”面板。
    注意:  如果中国体育彩票开奖的接收者是管理员用户,则需要为管理员分配电子邮件以触发中国体育彩票开奖。
    注意:  阈值中国体育彩票开奖的另一个接收者是所有者(数据库的所有者)。如果与中国体育彩票开奖关联的查询包含服务器IP和服务名称,并且如果中国体育彩票开奖按行评估,则接收者可以是所有者。中国体育彩票开奖通知必须具有:中国体育彩票开奖通知类型:邮件,中国体育彩票开奖用户ID:0,中国体育彩票开奖目标:所有者。请参阅中的中国体育彩票开奖措施  政策规定 用于实时中国体育彩票开奖的其他接收器。
  10. (可选)单击  的角色  为中国体育彩票开奖分配角色。
  11. (可选)单击  评论  在定义中添加注释。
  12. 请点击   应用  and then   完成了  完成后。

常见用例

1.登录失败,重复登录失败

2.对敏感对象的特权用户活动(DML,DDL,DCL)(尤其是在非工作时间)
3.使用非应用程序服务器中的服务帐户(应用程序帐户)
4.非应用程序用户(PCI)访问(选择)敏感对象
5.帐户创建活动(创建用户,sp_adduser)
6.特权升级,向敏感对象授予命令(PCI),授予命令(SOX)
7. SQL注入,监视风险指示数据库异常
8.大数据移动
您只能进行数据计数,不能按百分比计数。此示例说明我们将监视500多个记录的移动。
要启用此功能,需要在收集器的检查引擎上启用计数更改。
9.针对敏感对象选择*
安全策略构建器

安全策略包含一组有序的规则,这些规则将应用于观察到的数据库客户端和服务器之间的流量。每个规则可以适用于来自客户端的请求,也可以适用于来自服务器的响应。可以定义多个策略,并且可以同时在Guardium设备上安装多个策略。

策略中的每个规则都定义了一个条件操作。测试的条件可以是简单的测试-例如,它可以检查来自不属于授权客户端IP组的客户端IP地址的任何访问。或测试的条件可以是考虑多个消息和会话属性(数据库用户,源程序,命令类型,一天中的时间等)的复杂测试,并且可能会对在一个条件内满足条件的次数敏感。指定的时间范围。

规则触发的操作可以是通知操作(例如,发送给一个或多个收件人的电子邮件),阻止操作(客户端会话可能已断开连接),也可以仅将事件记录为违反策略。可以开发自定义动作来执行对于给定环境或应用程序可能特有的条件所必需的任何任务。

每次触发中国体育彩票开奖或仅日志操作时,都会记录违反策略的情况。 (可选)可以将触发规则的SQL(包括数据值)记录为违反策略。

制定新政策

添加规则

安装政策
通过从“安全策略”窗口中选择一个策略并单击“安装”来安装策略>安装。选择所需的安装操作,然后单击确定以安装策略。已安装的策略在“已安装”列中以绿色复选标记表示。

分类

数据源定义

发现敏感数据–发现方案

参考文献:

通过 约翰

发表评论