我正在从事IBM 卫报项目,以将一些数据库服务器安装到系统中。
为了演示该工作量,我创建了此任务列表。这是我自己使用的草稿。我正在通过我的博客文章分享。希望有更多的反馈来实现这个列表。

它仅涵盖三个主要要求,即创建新的收集器,数据库漏洞评估和数据安全策略。

任务列表

注意:此列表仍然保持更新。

没有。 任务 子任务 进展 预计到达时间
1 安装新的收集器 一周
1.1 准备环境
安装新的收集器:IP地址,网络掩码,默认路由,DNS,NTP,
SMTP
1.2 为新设置虚拟设备
收藏家–与现有规格相同(192.23.1.9)
1.3 下载与版本相同的图像
现有收集器,加载Guardium映像进行标准安装
1.4 设置初始和基本
通过命令行配置:IP,网关,DNS,NTP,SMTP,更改
默认密码,时区,重启系统
1.5 安装许可证密钥,申请
补丁,快照系统。 
2 与新收藏家集成
卫报 Mgmt服务器(192.23.1.8)
一周
2.1 验证CLI安装
2.2 日志聚合到Aggreator /
中央经理
2.3 从新配置日志发送
收集器到聚合器
2.4 AD集成,配置
从聚合器同步/推送到收集器
2.5 系统备份配置
3 在数据库上安装GIM代理/装订
伺服器
两个星期
3.1 生成安装脚本
对于每个服务器和数据库
3.2 在数据库上创建用户和组
伺服器
3.3 安装GIM代理并装订
软件
3.4 验证GIM和订章
安装
4 创建新的系统监视器警报
数据库和收集器
一周
4.1 监视两台服务器上的S-tap
4.2 监视收集器状态
4.3 监视收集器本地磁盘
用法
4.4 数据归档政策
导出/导入/清除配置
5 VA 两个星期
5.1 数据源定义
5.2 发现敏感数据
(可选),发现数据库(可选)
5.3 建立DB2 / MS sQL安全性
评定
5.4 验证结果和时间表
审核报告
5.5 使用DBA查看结果
(强化政策)
6 数据安全政策 3周
6.1 收集敏感领域
6.2 收集特权帐户
6.3 定义用例(可选)–
相同的用例
6.4 创建相同的数据安全策略
作为试点项目,但用于不同的数据库。
6.5 创建警报/报告等。
6.6 用例测试/调整

1.管理您的资产

1.1 添加数据库/数据源

您可以通过手动添加数据库或从CSV文件导入来添加数据库:

一旦在导入或手动添加过程中提供了凭据,就可以将DataSource(凭据)自动添加到Guardium中。

另外,您可以稍后通过安装程序添加它->数据源定义。某些应用程序将需要数据源,例如漏洞评估或发现敏感数据。

卫报识别数据库的另一种方法是使用自动安装在数据库服务器上的STAP。一旦在数据库服务器上安装了STAP,Guardium就会监视和分析输入/输出数据库服务器的流量,并将数据库自动添加到Guardium。

1.2管理应用程序:

法规遵从性监视智能助手的“应用程序”选项卡提供了所有应用程序及其分配的数据库的基于树的视图。
使用应用程序选项卡创建,更新和删除应用程序。也可以从CSV导入应用程序列表。

YouTube视频:

2.发现和分类

发现敏感数据

随着组织规模的扩大以及信用卡号码和个人财务数据之类的敏感信息传播到多个位置,发现和分类过程变得非常重要。这通常发生在合并和收购的背景下,或者当遗留系统超过了其原始所有者时。结果,敏感数据可能不存在于当前拥有该数据的人的知识范围之内。这是一种常见但极为脆弱的方案,因为除非知道敏感数据,否则您无法对其进行保护。

//www.youtube.com/watch?time_continue=104&v=AYjjZeaeCp0&feature=emb_logo

3.评估漏洞

漏洞评估

评估是一组测试,它们扫描数据库基础结构中的漏洞,并通过实时和历史测量来评估数据库和数据安全性运行状况。
//www.youtube.com/watch?time_continue=2&v=kcqWERN-1yc&feature=emb_logo

4.监视数据访问

4.1设置合规性监控
合规性 概要 提供合规性监视配置的概览视图,以及对相关策略,组和报告的立即访问。
打开 概要 by navigating to 建立 > 智能助手 合规监控 and clicking the 合规摘要 tab.

4.2设置应用程序数据监视

应用程序摘要提供了数据库监视,组填充和与应用程序关联的策略的即时视图,包括相关联的关键安全度量。
通过导航到打开摘要 建立 > 智能助手 合规监控 and clicking the 申请摘要 tab.

4.3安装基本安全监控策略

使用基本数据安全监视策略来开始使用Guardium SQL流量监视。
卫报附带默认情况下安装的预定义策略: 默认值–忽略未知连接的数据活动[模板]。此默认值捕获会话级信息,例如客户端和服务器IP地址,数据库类型,操作系统用户,源程序以及数据库会话的开始和结束时间,但不捕获实际的SQL活动。
与默认策略相比,基本数据安全监视策略使您可以立即开始监视SQL流量。针对某些最常见的用例,使用预定义的特权用户组,特权命令和错误代码,基本监视策略提供了解决常见数据访问和攻击模式的规则。尽管这不是全面的审核策略,但是在您开发针对您的环境和需求的数据库活动监视策略时,基本监视策略可提供安全的基础。

5.高级分析

卫报主动式威胁分析,风险发现程序和调查仪表板可让您鸟瞰系统中的潜在风险,一段时间内的风险趋势以及调查潜在风险的工具。将这些工具纳入您的日常工作 卫报 例行程序,以提高您识别和管理风险的能力。
5.1风险发现者
Risk Spotter是同类技术中的首创,将安全性范式更改为人工智能数据保护策略。它使用智能算法在策略雷达(已安装的策略)的内部和外部进行搜索,并使用整体算法动态评估风险因素。它的动态风险评估考虑了许多风险因素,包括:异常值,漏洞,活动量,对敏感数据的访问,命令类型(特权)。 Risk Spotter以易于阅读的图形显示整个系统中的风险用户和风险趋势。 Risk Spotter页面包含所有配置和结果以及您可以采取的措施。

5.2活动威胁分析
Active Threat Analytics根据异常的挖掘过程和已识别的攻击症状显示潜在的安全漏洞案例。使用其仪表板查看和调查案件,并对个别案件采取行动。

5.3调查仪表板
调查仪表板提供了强大的工具,可用于识别和评估您可能存在的问题 卫报 环境。它使用本地或系统范围的未过滤数据,并提供大量过滤器选项来查询整个数据 卫报 环境,可能来自任何 卫报 该环境中的收集器。

通过 约翰扬

发表评论