DbXpert V3.0用户使用手册

DbXpert V3.0用户使用手册

数据库风险分析与安全监控审计系统V3.0

(DbXpert V3.0)

用 户 使 用 手 册

杭州帕拉迪网络科技有限公司

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 1

DbXpert V3.0用户使用手册

目录

1.系统概述........................................................................................................................................ 3 2.系统管理........................................................................................................................................ 3

2.1系统架构 ............................................................................................................................. 3 2.2系统特点 ............................................................................................................................. 4 3.系统操作........................................................................................................................................ 5

3.1系统登录 ............................................................................................................................. 5 3.2快速入门 ............................................................................................................................. 6

3.2.1基本配置 .................................................................................................................. 6 3.2.2资产添加 .................................................................................................................. 7 3.2.3策略设置 .................................................................................................................. 9 3.2.4用户管理 ................................................................................................................ 17 3.2.5告警配置 ................................................................................................................ 19 3.2.6记录查询 ................................................................................................................ 20

4.系统功能...................................................................................................................................... 21

4.1系统管理 ........................................................................................................................... 22

4.1.1接口配置 ................................................................................................................ 22 4.1.2用户管理 ................................................................................................................ 23 4.1.3输出配置 ................................................................................................................ 23 4.1.4授权许可 ................................................................................................................ 23 4.2策略管理 ........................................................................................................................... 24

4.2.1资产 ........................................................................................................................ 24 4.2.2白名单 .................................................................................................................... 26 4.2.3对象 ........................................................................................................................ 26 4.2.4策略 ........................................................................................................................ 27 4.2.5动作 ........................................................................................................................ 29 4.2.6管理 ........................................................................................................................ 29 4.3日志审计 ........................................................................................................................... 30

4.3.1会话审计 ................................................................................................................ 30 4.3.2策略告警 ................................................................................................................ 34 4.3.3异常告警 ................................................................................................................ 34 4.3.4系统事件 ................................................................................................................ 34 4.4系统监测 ........................................................................................................................... 35

4.4.1最新策略告警 ........................................................................................................ 35 4.4.2最新违规操作 ........................................................................................................ 35 4.4.3最新系统事件 ........................................................................................................ 36 4.4.4 DbXpert的硬件资源使用情况 .................................................................. 36

5.产品部署...................................................................................................................................... 37

5.1配置镜像口 ....................................................................................................................... 37 5.2产品接口 ........................................................................................................................... 38 5.3常见拓扑图 ....................................................................................................................... 38 5.4故障分析与排错 ............................................................................................................... 41

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 2

DbXpert V3.0用户使用手册

1.系统概述

帕拉迪数据库风险分析与安全监控审计系统V3.0（简称“DbXpert V3.0”）是杭州帕拉迪网络科技有限公司自行研制开发的新一代数据库安全审计系统。DbXpert通过旁路侦听的方式对访问数据库的数据流进行采集、分析和识别。实时监视数据库的运行状态，记录多种访问数据库行为，发现对数据库的异常访问，并对访问数据库的相关行为、发送和接收的相关内容进行存储、分析、排名和查询。

随着数据库的使用越来越普及，给我们带来许多方便的同时，也给数据库也带来了许多风险和挑战，例如：非法访问数据库、利用合法访问数据库身份对数据库进行非法操作、正常访问数据库对数据库进行误操作、上传下载数据、泄露公司敏感和机密信息。这些威胁和挑战事件多数是来自于内部合法访问者的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些网络安全事件（特别是基于应用程序）的行为审计要求，DbXpert正是在这样的需求下产生的。帕拉迪凭借在安全审计领域多年的技术积累和研发经验，推出的适用于多种网络环境的新一代数据库安全审计系统。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善的管理规则，帮助访问者应对来自网络中的风险和挑战。

2.系统管理

2.1系统架构

DbXpert采用的是目前流行的B/S架构，用户可以通过网络对系统的运行状况、审计对象的操作行为进行实时管控与监测。

物理旁路部署方式：将DBXpert的抓包口连接在核心交换机双向

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 3

DbXpert V3.0用户使用手册

镜像端口上。

图1：DbXpert的基本网络部署拓扑图

2.2系统特点

支持旁路技术，既不影响被保护数据库的性能，也不影响用户的网络拓扑结构；

使用简单，不需要对被保护数据库进行任何设置；

适用面广，可以支持 Oracle、MS SQL Server、Sybase、DB2、informix等多类常用数据库； 审计精细度高，可审计并还原 SQL 操作语句；

可解析出 SQL 操作的返回信息； 提供细粒度、灵活的审计规则和查询条件 严格的权限管理机制，防止非授权用户修改数据；

内置安全策略，自动识别各种典型攻击，并及时采取措施，更有力的保障数据库的安 全运行。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 4

DbXpert V3.0用户使用手册

3.系统操作

3.1系统登录

在需要操作DbXpert的机器（称为客户机）上打开 IE，在 IE 地址栏内输入DbXpert的访问地址（如：https://10.10.11.8）。请确保客户机能够顺利访问DbXpert。如果出现证书错误提示，点击“继续浏览此网站（不推荐）”后，即可进入登陆界面。

进入登录页面后，输入用户名、密码进行登录（首次登录的用户名为administrator、密码为pldsec）；administrator用户默认角色是系统管理员，拥有DbXpert的最高权限。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 5

DbXpert V3.0用户使用手册

如果要将“可用字段”中的选项选中到“已启用的字段”中，用于“会话审计”和“策略告警”的记录结果。点击“选到“已启用的字段”中：

”按钮即可

“可用字段”提供了多种可选参数，既可以直接在字段中自定义，又可以通过“策略管理”中的“对象”界面对可用字段选项事先进行添加、编辑等操作。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 11

DbXpert V3.0用户使用手册

直接自定义方式：点击“

”按钮，出现以下窗口，选中“用

户定义的”填写需要的策略参数。

然后点击“

”按钮即可进入到“选定的”选项框内。

预先设定“可用字段”的方式：在“策略管理”中的“对象”界面中，可以对客户端网络地址、客户端应用程序、数据库用户名称、客户端主机名称、客户端系统用户、表组。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 12

DbXpert V3.0用户使用手册

先选取要添加的策略对象，然后点击“

”添加好对象组，如下图：

点击“确定”后：

再到表组对象“tables”页面中点击“

”添加表名、列名等信息：

点击“确定”即可。然后再到“策略”菜单下查看已经添加好的对象：

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 13

DbXpert V3.0用户使用手册

此时只需选中添加到“选定的”框中。

注意：“可用字段”中的“SELECT控制项”的作用，里面的“记录返回数据”和“解析返回数据”是对【日志审计】中的【会话审计】和【策略告警】的SQL语句进行详细的数据记录并提供可靠的解析数据包的下载。

所以如果勾选上了并且已启用了该字段，即可到【日志审计】中的【会话审计】和【策略告警】查看且下载到数据记录。 【会话审计】中点击界面中的【操作】的“详细”，如下图：

”图标即可出现“SESSION

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 14

DbXpert V3.0用户使用手册

在图中提供详细的“select执行结果记录”的查看和下载（此处就是涉及到【策略】?“可用字段”?“select控制选项”里面的“记录返回数据”和“解析返回数据”的勾选。） 点击“SESSION详情”页面中的“

”按钮，会返回select执行结果：

点击“SESSION详情”页面中的“

”按钮，此处还提供返回数据解析包下载：

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 15

DbXpert V3.0用户使用手册

策略告警是由“策略”定义好的告警级别后，所产生的审计记录。

【动作】中是设置策略告警邮件的接收者。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 16

DbXpert V3.0用户使用手册

最后将策略应用到已经添加好的数据库主机上去：勾选完以后，最后点击“

”。

再到策略管理中的“管理”中选择应用策略，点击“应用”后，策略方可生效。

3.2.4用户管理

在系统管理中的“用户管理”：配好administrator的密码、添加新的用户：

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 17

DbXpert V3.0用户使用手册

再编辑用户的信息：邮件（便于接受告警邮件）、手机号等参数。

最后进行“资产授权”：为了就是能让用户设置好用户名后，将权限更加细化，以区分各个数据库服务器的管理者。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 18

DbXpert V3.0用户使用手册

3.2.5告警配置

在“日志审计”中有2种告警日志：策略告警和异常告警。 策略告警的接收配置步骤：

1、在系统管理中的“输出配置”填好邮件服务器参数，但要保证DbXpert的DNS设置正确。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 19

DbXpert V3.0用户使用手册

2、在策略管理中的“动作”里添加要接收的邮件接收管理组，再选中需要接收的系统用户名：（这里就涉及到用户添加时的配置邮箱地址）

3、到策略管理中的“策略”的“动作”里选中要接收的管理组：保存后即可。

3.2.6记录查询

在“日志审计”中可以查看会话审计、策略告警、异常告警和系统事件。

会话审计里的详细显示的操作和原始内容的下载，次处的详细步骤请看该文档的“4.3.1会话审计”章节中的功能介绍。

会话审计记录，下图：

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 20

DbXpert V3.0用户使用手册

系统事件记录，下图：

4.系统功能

DbXpert的主要有以下4大功能模块：系统管理、策略管理、日志审计和系统监测：

【系统管理】是对DbXpert本身的配置，以便对系统的访问、授权与管理等功能。其中包括：接口配置、用户管理、输出配置与授权许可。

【策略管理】是对目标数据库服务器资产的添加、授权、策略制定、告警设置等配置功能。其中包括：资产、白名单、对象、策略、动作与管理。

【日志审计】是以数据库服务器资产为审计对象，从而记录运维人员对数据库服务器的操作与访问的行为；便对数据库运行情况的实时查看、故障分析以及告警级别的确定。其中包括：会话审计、策略告警、异常告警与系统事件。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 21

DbXpert V3.0用户使用手册

【系统监测】是用户通过DbXpert的审计数据信息的显示；以便用户全面的、统一的、及时的对数据库服务器的运行情况进行分析与排错。其中包括：最新策略告警、最新违规操作、最新系统事件、DbXpert的硬件资源使用情况。

4.1系统管理

4.1.1接口配置

【接口配置】是配置DbXpert的端口信息的，这里可以配置管理口、扩展管理口和审计口。

Eth0是首选默认管理口

Eth1是扩展管理口用于多网段管理IP的添加。

Bond0是审计口，是将除了eth0和eth1外的多余端口绑定为Bond0口，用于数据库审计，该接口是接到核心交换机的镜像端口上。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 22

DbXpert V3.0用户使用手册

4.1.2用户管理

【用户管理】用于管理系统用户、系统角色、权限划分、资产授权等参数：

4.1.3输出配置

【输出配置】是将审计记录发送到其他地方去，这里包括：邮件输出和SYSLOG输出：

4.1.4授权许可

【授权许可】是给DbXpert出厂注册授权使用的。由帕拉迪成功

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 23

DbXpert V3.0用户使用手册

注册授权后，方可正常使用DbXpert。

4.2策略管理

4.2.1资产

【资产】用于数据库服务器的添加、修改、控制策略的应用等信息。

控制策略有：来源限制、信任程序、信任账号、记录控制和应用策略。

[来源限制]用于控制客户端的访问操作IP，其中分忽略IP地址和限定IP地址：忽略IP地址是将访问操作数据库的IP地址添加到里面即可不审计了；限定IP地址是将不允许访问操作数据库的IP添加到里面即可让改IP地址无法访问数据库。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 24

DbXpert V3.0用户使用手册

[信任程序]用于将信任的数据库客户端程序名添加到里面，在此列表里的客户端程序所发起的数据库行为不会产生异常告警。

[信任账号]用于将信任的数据库账号添加到受信任账号列表里面，在此列表中的数据库账号所发起的数据库行为不会产生异常告警。

[记录控制]用于是否要启用审计客户端访问操作数据库所产生的镜像数据包。

[应用策略]是查看应用在该数据库资产上的策略列表。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 25

DbXpert V3.0用户使用手册

4.2.2白名单

在【白名单】中，用户可以设置客户端的数据库账号、客户端主机名、客户端用户名和客户端应用程序是否异常。如果勾选上了说明其是正常的记录，就不产生异常告警；如果未勾选说明的不正常的记录，就产生异常告警。

4.2.3对象

【对象】的设置涉及到策略的应用，在编辑策略时需要编辑可选项，用于对数据库资产的策略告警。其中包括：客户端网络地址、客户端应用程序、数据库用户名称、客户端主机名称、客户端系统用户、表组。

[客户端网络地址]是设置源操作主机的网络地址，用于策略设置中的IP告警。

[客户端应用程序]是设置源操作主机上的数据库客户端程序，用

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 26

DbXpert V3.0用户使用手册

于策略设置中的程序告警。

[数据库用户名称]是设置数据库的账号，用于策略设置中的数据库账号告警。

[客户端主机名称]是设置源操作主机上的计算机名，用于策略设置中的计算机名告警。

[客户端系统用户]是设置源操作主机上的系统账户，用于策略设置中的系统账户告警。

[表组]是设置数据库的表名、字段名等数据库表信息，用于策略设置中的数据库表告警。

4.2.4策略

详细的配置步骤在该文档的“3.2.3策略设置”章节中。 【策略】用于制定对数据库资产应用策略，并可以产生相关审计记录。其中包括策略添加、策略修改、策略告警邮件接收、策略应用等参数。

在“匹配条件”中，有字段项可编辑，该处既可以自定义添加修改，也可以在“对象”菜单下添加、修改、删除等进行操作。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 27

DbXpert V3.0用户使用手册

注意：“可用字段”的选项在【对象】章节中有介绍。

在“动作”中，可以选择要接收策略告警邮件的管理组：

在应用到中，可以将策略应用到数据库资产中，便于对资产进行更好的控制。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 28

DbXpert V3.0用户使用手册

4.2.5动作

动作用于对需要接收策略告警的系统用户进行统一规管理的。

4.2.6管理

管理用于客户编辑好策略后需要对应用策略点击“应用”或者新增资产后需要进行进程管理的“重启进程”。

应用策略

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 29

DbXpert V3.0用户使用手册

进程管理

4.3日志审计

日志审计是以数据库服务器资产为审计对象，从而记录运维人员对数据库服务器的操作与访问的行为；便对数据库运行情况的实时查看、故障分析以及告警级别的确定。其中包括：会话审计、策略告警、异常告警与系统事件。

4.3.1会话审计

会话审计用于显示DbXpert审计用户访问操作数据库的行为记录的显示。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 30

DbXpert V3.0用户使用手册

【过滤器】的“过滤”查询功能，可以做到对数据记录进行更加快速、方便的查询。

【操作】中提供“SESSION详情”和“原始RAW PACKET数据包”（PCAP包）的下载。

【操作】中点击“

”按钮，会出现“SESSION详情”页面框，此处深

度解码数据库网络传输协议，完整、细粒度分析并再现用户数据库操作活动过程。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 31

DbXpert V3.0用户使用手册

完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL SELECT操作返回行数、SQL语句执行时间、原始数据库记录包等。此功能国内唯一。

点击“SESSION详情”页面中的“

”按钮，会返回select执行结果：

点击“SESSION详情”页面中的“

”按钮，此处还提供返回数据解析包下载：

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 32

DbXpert V3.0用户使用手册

【操作】中点击“

”按钮即可下载“原始RAW PACKET数据包（PCAP

包）”。“原始RAW PACKET数据包”记录整个数据库操作会话过程所有网络数据包。便于用户对原始数据包的解析或排错。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 33

DbXpert V3.0用户使用手册

4.3.2策略告警

策略告警是由“策略”定义好的告警级别后，所产生的审计记录。

4.3.3异常告警

异常告警是由策略管理中的“白名单”的设置与DbXpert内部定义好的告警级别共同产生的审计记录。

4.3.4系统事件

系统事件记录的是用户对DbXpert本身的操作行为记录。主要记录的是用户对DbXpert的异常操作。在界面的左侧栏提供详细的事件类型查询功能。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 34

DbXpert V3.0用户使用手册

4.4系统监测

4.4.1最新策略告警

最新策略告警提供了实时的策略告警信息。其中可以通过“过滤”进行细化查询，可以通过“更多”进行页面跳转到日志审计下的“策略告警”页面。

4.4.2最新违规操作

最新违规操作提供了实时的异常告警信息，其中可以通过“过滤”进行细化查询，可以通过“更多”进行页面跳转到日志审计下的“异

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 35

DbXpert V3.0用户使用手册

常告警”页面。

4.4.3最新系统事件

最新系统事件提供了实时的DbXpert本身的异常告警信息，其中可以通过“过滤”进行细化查询，可以通过“更多”进行页面跳转到日志审计下的“系统事件”页面。

4.4.4 DbXpert的硬件资源使用情况

此处可以查看到DbXpert的CPU使用率、内存使用率、接口速率。便于用户查看DbXpert的系统性能。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 36

DbXpert V3.0用户使用手册

5.产品部署

5.1配置镜像口

常见的主流核心交换机有思科、华为、H3C、中兴、北电等，用户在部署DbXpert之前需要在核心交换机上配置端口镜像（双向：both）；例如：

1.cattylist2550/3550：

>en

#conf term

)#no monintor session 1

)#monitor session 1 source inter g1/1 both )#monitor session 1 destination inter g1/8 )#end

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 37

DbXpert V3.0用户使用手册

)#show monitor session 1/show run

2.H3C S5500：

[H3C]mirroring-group 1 local

[H3C]mirroring-group 1 mirroring-port GigabitEthernet 1/0/20 both

[H3C]mirroring-group 1 monitor-port GigabitEthernet 1/0/13

3.quidway s2000 series： >system-view

]monitor-port Ethernet 0/24 no-filt（不过滤） ]mirroring-port Ethernet 0/23 both 说明：给交换机配置端口镜像都是大同小异，可以通过问号或者命令参数的解释知道哪条是配置端口镜像的命令。

5.2产品接口

DbXpert的硬件接口有3个以上的接口：eth0默认是系统管理口；eth1用于网络扩展管理口；eth2以后的接口统一是bond0口用于捕获数据，连接核心交换机的镜像口。

5.3常见拓扑图

网络拓扑在现实中是多见的，也是各式各样的，但是DbXpert在网络中的部署是万变不离其宗的，只要DbXpert产品性能满足网络的需求即可接入到网络中，这里总结了几种常见且属于中大型的网络拓扑图：（仅供参考）

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 38

DbXpert V3.0用户使用手册

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 39

DbXpert V3.0用户使用手册

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 40

DbXpert V3.0用户使用手册

5.4故障分析与排错

1．为什么DbXpert出现无数据审计记录？ 答：查看端口镜像是否配置正确；

查看抓包口是否配置正确。

2. 为什么DbXpert出现无法记录数据库语句原始包？

答：查看策略管理中的“资产”设置中的“记录控制”的“原始RAW PACKET记录”是否勾选。

3. 为什么无法登录DbXpert？

答：查看DbXpert的管理口是否配置正确； 查看DbXpert的管理IP的所属网段是否配置正确。

4.为什么无法接受到DbXpert的告警邮件？ 答：查看邮件输出配置是否正确。

5.为什么查看会话审计里的“SESSION详情”里的“select语句”执行结果没有记录？并且也没有可下载的返回数据包？

答：查看【策略管理】?【策略】?【策略配置】?【select控制项】里的“记录返回数据”和“解析返回数据”是否勾选。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 41

DbXpert V3.0用户使用手册

5.4故障分析与排错

1．为什么DbXpert出现无数据审计记录？ 答：查看端口镜像是否配置正确；

查看抓包口是否配置正确。

2. 为什么DbXpert出现无法记录数据库语句原始包？

答：查看策略管理中的“资产”设置中的“记录控制”的“原始RAW PACKET记录”是否勾选。

3. 为什么无法登录DbXpert？

答：查看DbXpert的管理口是否配置正确； 查看DbXpert的管理IP的所属网段是否配置正确。

4.为什么无法接受到DbXpert的告警邮件？ 答：查看邮件输出配置是否正确。

5.为什么查看会话审计里的“SESSION详情”里的“select语句”执行结果没有记录？并且也没有可下载的返回数据包？

答：查看【策略管理】?【策略】?【策略配置】?【select控制项】里的“记录返回数据”和“解析返回数据”是否勾选。

杭州帕拉迪网络科技有限公司 http://www.pldsec.com Page 41

本文来源：https://www.bwwdw.com/article/zrh5.html