瞭解基本資料安全監視原則規則
審查基本資料安全監視原則的逐條規則說明。
若要查看基本資料安全監視原則隨附的規則,請執行下列動作:
- 導覽至。
- 選取基本資料安全原則 [範本],然後按一下
。 - 在「檢視原則」對話框中,按一下規則區段。 原則規則和準則會列在表格中。
- 規則 #1:XSS
- 此規則使用正規表示式來偵測 SQL 中的已知 XSS(跨網站 Scripting)攻擊型樣。這類程式碼如果儲存在資料庫中,則可能用來攻擊 WEB-UI。此規則動作會產生高嚴重性原則違規。
- 規則 #2:SQL 注入 - 恆真句
- 此規則使用正規表示式來偵測一般型樣的 SQL 注入攻擊。攻擊者可以使用諸如
1=1的表示式,在格式不正確的陳述式尾端新增任意的 SQL 程式碼。此規則動作會產生高嚴重性原則違規。 - 規則 #3:SQL 注入 - 阻斷服務 (DoS)
- 此規則使用正規表示式來偵測一般型樣的 SQL 注入攻擊。攻擊者可以使用諸如 benchmark 的指令,使資料庫超載。此規則動作會產生高嚴重性原則違規。
- 規則 #4:SQL 注入 - 端通道
- 此規則使用正規表示式來偵測一般型樣的 SQL 注入攻擊。sleep 指令如果內嵌在 SQL 中,則可能會建立效能及逾時問題,並使應用程式失敗。此規則動作會產生高嚴重性原則違規。
- 規則 #5:OS 指令注入
- 此規則使用正規表示式來偵測 SQL 中的 OS 指令及執行碼。這類程式碼如果儲存在資料庫中,則可能用來攻擊後端系統或前端系統。此動作會產生高嚴重性原則違規。
註: 如果已啟用作用中威脅分析,則該特性也會使用從規則 1 - 5 所產生的違規。
- 規則 #6:監視 Admin 使用者的所有資料庫活動
- 此規則根據稱為 Admin 使用者 的預先定義 Guardium 群組,來識別及綜合記載那些使用者執行的所有活動。對於大部分受支援的資料庫類型,此規則使用記載完整資料 動作,且該群組會預先移入預設的 Admin 使用者以及特定的非 Admin 使用者。該群組不包含具有管理專用權的任何自訂使用者,而這些專用權通常存在於正式作業環境中。若要檢視已記載至 Guardium 的 Admin 使用者活動,請導覽至。
如需相關資訊,請參閱建立 Admin 使用者活動報告。
- 規則 #7:監視所有管理指令
- 此規則根據稱為管理指令 的預先定義 Guardium 群組,來識別及綜合記載包含該群組中所列出之管理指令的所有活動。對於大部分受支援的資料庫類型,此規則使用記載完整資料 動作,且該群組會預先移入預設的管理指令。若要檢視已記載於 Guardium 的管理指令,請導覽至。
如需相關資訊,請參閱建立管理指令執行報告。
- 規則 #8:針對重複的失敗登入嘗試記載原則違規
- 如果在一分鐘時間間隔內進行了五次以上的失敗登入嘗試,此規則會記載原則違規。此規則使用僅記載 動作。此規則可能會擷取到惡意使用者嘗試透過試誤法來反覆猜測資料庫密碼的情況。若要檢視 Guardium 中記載的原則違規,請導覽至,以檢視原則違規/發生事件管理 報告。存取規則說明欄位指出哪個原則規則觸發違規。
- 規則 #9:產生風險指示錯誤時記載原則違規
- 此規則根據稱為風險指示錯誤訊息 的預先定義 Guardium 群組,來識別該群組中列出資料庫異常狀況(其中包含的資料庫錯誤碼通常與惡意或未獲授權活動相關聯)的階段作業,以及記載原則違規。此規則使用僅記載 動作。若要檢視 Guardium 中記載的原則違規,請導覽至,以檢視原則違規/發生事件管理 報告。存取規則說明欄位指出哪個原則規則觸發違規。
- 規則 #10:針對潛在的資料滲漏嘗試記載原則違規
- 此規則檢查資料庫為了回應每個資料庫階段作業的查詢而傳回的列數,以識別潛在的資料滲漏 嘗試。資料滲漏指的是嘗試移動大量資料。如果資料庫針對階段作業所傳回的總列數,在 1 分鐘時間間隔內達到或超出 1000 列,則會使用僅記載 動作來記載原則違規。若要檢視 Guardium 中記載的原則違規,請導覽至,以檢視原則違規/發生事件管理 報告。存取規則說明欄位指出哪個原則規則觸發違規。
- 規則 #11:忽略大量資料流量負載階段作業(一般是批次工作)
- 此規則的設計目的是過濾掉可能之大量批次工作的資料流量,以避免 Guardium 收集器過大。此規則會計算在某一階段作業內執行的 SQL 陳述式數目。如果此數目在 1 分鐘時間間隔內達到或超出 500,則會使用忽略 S-TAP 階段作業 動作來忽略剩餘的階段作業。基於審核目的,會記載該階段作業的前 500 個 SQL 陳述式。