¿Qué es un sistema de auditoría de bases de datos?
La auditoría de base de datos (DBAudit para abreviar) puede registrar las actividades de la base de datos en la red en tiempo real, realizar una gestión de cumplimiento de auditoría detallada de las operaciones de la base de datos, alertar a la base de datos sobre comportamientos riesgosos y bloquear comportamientos de ataque. Registra, analiza e informa el comportamiento de acceso a la base de datos de los usuarios para ayudarlos a generar informes de cumplimiento y rastrear accidentes posteriormente. También fortalece los registros de comportamiento de la red de bases de datos internas y externas y mejora la seguridad de los activos de datos.
Funciones principales
Auditoría de correlación empresarial multicapa:
La auditoría de correlación empresarial multicapa se realiza a través del acceso a la capa de aplicación y solicitudes de operación de la base de datos para lograr un visitante completo. La trazabilidad de la información incluye: URL donde ocurrió la operación, IP del cliente, mensaje de solicitud y otra información. A través de una auditoría de correlación comercial de múltiples capas, las solicitudes de acceso y operación en todos los niveles antes y después del evento se ubican con mayor precisión, lo que permite a los gerentes comprender el comportamiento del usuario. de un vistazo y realmente Asegúrese de que se pueda monitorear el comportamiento de operación de la base de datos y se puedan rastrear las operaciones ilegales.
Auditoría detallada de bases de datos:
A través del análisis semántico SQL de diferentes bases de datos, se extraen elementos relevantes en SQL (usuarios, operaciones SQL, tablas, campos, vistas, índices, procesos). , funciones, paquetes...) Monitoreo en tiempo real de todas las actividades de la base de datos desde todos los niveles, incluidas las solicitudes de operación de la base de datos iniciadas desde el sistema de aplicación, las solicitudes de operación de las herramientas del cliente de la base de datos y las solicitudes de operación después de iniciar sesión en el servidor de forma remota, etc. Los comandos SQL ejecutados a través de la línea de comando remota también se pueden auditar y analizar, y las operaciones ilegales se pueden bloquear. El sistema no solo realiza una auditoría en tiempo real de las solicitudes de operación de la base de datos, sino que también puede restaurar y auditar completamente los resultados de retorno de la base de datos. establecer reglas de auditoría basadas en los resultados de la devolución.
Rastreo preciso del comportamiento:
Una vez que ocurre un incidente de seguridad, se proporcionan consultas de auditoría totalmente personalizadas y visualización de datos de auditoría basados en los objetos de la base de datos, eliminando por completo el estado de caja negra de la base de datos. .
Control integral de riesgos:
Personalización de políticas flexible: basada en usuarios registrados, direcciones IP de origen, objetos de la base de datos (divididos en usuarios de la base de datos, tablas, campos), tiempo de operación, operaciones SQL Se puede utilizar una combinación flexible de comandos, la cantidad de registros devueltos o filas afectadas, la cantidad de tablas relacionadas, los resultados de la ejecución de SQL, la duración de la ejecución de SQL y el contenido del mensaje para definir eventos importantes y eventos de riesgo que preocupan a los clientes en múltiples formas. de alarmas en tiempo real: cuando se detectan Cuando hay operaciones sospechosas u operaciones que violan las reglas de auditoría, el sistema puede notificar al administrador de la base de datos a través de alarmas del centro de monitoreo, alarmas por SMS, alarmas por correo electrónico, alarmas Syslog, etc.
Separación de funciones y poderes:
Los “Requisitos Técnicos para la Gestión de Bases de Datos de Protección del Nivel de Seguridad del Sistema de Información Informática”, las “Especificaciones de Control Interno Empresarial”, la Ley SOX o PCI proponen claramente la separación de deberes para el personal, el sistema ha configurado la separación de roles de permiso.
Reproducción del proceso de operación real y amigable:
Para las operaciones que interesan a los clientes, se puede reproducir todo el proceso relevante, de modo que los clientes puedan ver la entrada real y el contenido de la pantalla. Para operaciones remotas, realice la recuperación de contenido fino, como ejecutar eliminación de tablas, comandos de archivos, búsqueda de datos, etc.