此帖子是那些基本IBM Guardium配置的摘要。 IBM Guardium产品提供了一种简单,坚固的解决方案,可防止数据库和文件中的数据泄漏,帮助确保数据中心中信息的完整性和自动化合规性控制。

这些是Guardium数据库安全解决方案的关键功能区域:

  • 漏洞评估。这包括不仅仅是在数据库产品中发现已知的漏洞,还可以在复杂的数据库基础架构中提供完整的可视性,检测错误控制,并评估和减轻这些风险。
  • 数据发现和分类。虽然单独的分类不提供任何保护,但是根据其关键性和合规性要求,它是针对不同数据定义适当的安全策略的重要第一步。
  • 数据保护。 Guardium在休息和传输,静态和动态数据掩码中解决数据加密,以及用于保护数据完整性和机密性的其他技术。
  • 监测和分析。这包括监视数据库性能特征,并在每个实例中的所有访问和管理操作中的完全可见性。最重要的是,可以提供高级实时分析,异常检测和安全信息和事件管理(SIEM)集成。
  • 威胁预防。这是指从网络内保护的网络等方法,例如分布式拒绝服务(DDOS)或SQL注入,减轻未分割的漏洞和其他数据库特定的安全措施。
  • 访问管理。这超出了数据库实例的基本访问控制。评级过程专注于能够识别和删除过多的用户权限,管理共享和服务帐户的更复杂,动态,策略的访问管理,以及检测和阻止可疑用户活动。
  • 审计和遵守。这包括超出本机能力,集中审计和报告的高级审计机制,跨多个数据库环境,强制执行职责分离以及支持取证分析和合规审计的工具。
  • 性能和可扩展性。虽然不是安全功能本身,但对于能够承受高负载的所有数据库安全解决方案是一个重要要求,最大限度地减少高可用性配置中的性能开销和支持部署。

IBM Security Guardium解决方案提供两个版本:

  • IBM Security Guardium数据库活动监控(DAM)
  • IBM Security Guardium文件活动监视(FAM) - 使用Guardium文件活动监控将监视功能扩展到文件服务器。

执照

NTP:

login as: cli
Pre-authentication banner message from server:
|
| IBM Guardium, Command Line Interface (CLI)
|
End of banner message from server
[email protected]'s password:
Last login: Thu Jul 25 15:22:29 2019 from 10.10.136.2
Welcome cli - your last login was Tue Jul 30 01:30:02 2019
test1-igcm01.51sec.org> show system ntp all
172.21.5.10
172.21.5.11
51Secsrv11.51sec.org
51Secsrv10.51sec.org
Enabled
ok
test1-igcm01.51sec.org> show system ntp
USAGE:  show system ntp <arg>, where arg is:
all, diagnostics, server, state
test1-igcm01.51sec.org> show system ntp state
Enabled
ok
test1-igcm01.51sec.org>


系统补丁:

test1-igcm01.51sec.org> show system patch installed
P#      Who       Description                     Request Time         Status
600     CLI       Guardium Patch Update (GPU) for 2019-06-13 11:10:02  DONE: Patch installation Succeeded.
9997    CLI       Health Check for GPU installati 2019-06-13 14:34:13  DONE: Patch installation Succeeded.
620     CLI       Update Bundle for v10.0 GPU 600 2019-06-13 14:35:15  DONE: Patch installation Succeeded.
ok
test1-igcm01.51sec.org> show system patch ava

Attempting to retrieve the patch information. It may take time. Please wait.

P#      Description                                   Version Md5sum                              Dependencies
9997    Health Check for GPU installation (Apr 11 201 10.0    67dcb683682db202551ad16dd3312a95
620     Update Bundle for v10.0 GPU 600 (Apr 25 2019) 10.0    e6cd80e4b4af11a5bac132a49169f97c    600
ok
test1-igcm01.51sec.org>


警报 - SMTP设置

数据导出(收集器上)

数据导入(在聚合器或中央管理器上)

数据存档(在聚合器上)

系统备份(在聚合器上)

预定的工作

系统门户和LDAP身份验证集成

来自Windows Sysinternals的广告商可以很大程度上可以帮助您找到正确的DN设置和过滤配置如果AD Admin不确定如何帮助您使用Windows广告连接Linux计算机。

syslog.

它支持,cef,leef等。

从命令行中,以下命令将在Guardium系统中添加/删除syslog主机。

daemon.alert.alert.
=政策中的高度严重程度
守护进程
= med政策的严重程度
守护进程
=政策中的严重程度 
51sec-igcm01.51Sectest.dev> store remotelog clear 10.25.14.1
Update the configuration file and restart the service.
ok
51sec-igcm01.51sectest.dev> show remotelog host
Not configured.
ok
51sec-igcm01.51sectest.dev> 
store remotelog add non_encrypted daemon.alert 10.2.14.132 udp
store remotelog add non_encrypted daemon.err 10.2.14.132 udp
store remotelog add non_encrypted daemon.warning 10.2.14.132 udp
Restarting syslog server.
ok
51sec-igcm01.51sectest.dev> show remotelog host
Remote syslog is in non-encrypted mode.
Remote syslog format is default.
local7.=alert    @10.2.14.132
ok



最后一步是配置策略或警报,向Siem Server发送Syslog,例如Qradar,ArcSight或Wogrhythm。

检查Syslogs发送的消息日志
登录收集器,而不是聚合器。警报始终从收集器发送到syslog服务器。

fileserver 10.10.10.2 600.
登录页面文件服务器给出了从Debug-Logs文件夹下载消息日志

经过 jonny.

发表评论