自动化报告_报告，自动化和阻止

最新推荐文章于 2023-06-27 10:10:36 发布

cuyi7076

最新推荐文章于 2023-06-27 10:10:36 发布

阅读量293

点赞数

文章标签：数据库 python java 人工智能 mysql

原文链接：https://www.ibm.com/developerworks/data/library/techarticle/dm-1306mongodb3/index.html

版权

自动化报告

本系列文章的第一部分介绍了MongoDB和InfoSphere Guardium。它提供了一些背景知识，说明InfoSphere Guardium可以彻底监视和审计数据活动，从而可以帮助您更加安全地在更多应用程序中使用MongoDB。您了解了该解决方案的体系结构以及有关使用MongoDB的本机功能保护MongoDB的一些建议以及InfoSphere Guardium带来的好处。

本系列的第二部分深入介绍了配置解决方案的细节，并说明了如何为各种用例创建安全策略规则。

该系列的最后一篇文章介绍了您可以使用InfoSphere Guardium进行的更多操作，包括：

搜索和浏览审核数据。
创建报告，并配置审核过程以将报告发送给审阅。
阻止可疑用户。此特定功能仅在“高级活动监视器”中可用。

查看审核结果：搜索和报告

本节描述了使用审计数据的几个不同的选项：

临时搜索（此版本中的新增功能）
活动报告

搜索和浏览

启用后，可从Guardium UI的顶部横幅获得快速搜索功能，该功能提供对数据库活动，错误和违规的快速搜索和浏览功能。此功能使用搜索索引，该索引每1-2分钟运行一次。您可以一起使用或组合使用常见的搜索技术（包括分面搜索和文本搜索）来快速进行审计数据的临时调查。

搜索包括以下内容：

统计数据库活动的人员，位置，内容和时间的直方图视图。单击这些方面中的任何一个以缩小搜索范围。
自由文本搜索，用于搜索所有索引的审计数据。例如，您可以输入字符串“ john”，它将搜索所有索引数据以查找john，它是否出现在DB用户，OS用户，客户端，错误，消息详细信息等中。

默认情况下，搜索和浏览功能是禁用的。要启用它，您可以以CLI用户身份运行以下grdapi ： grdapi enable_quick_search 。

要访问此功能，请输入搜索词或单击InfoSphere Guardium UI顶部横幅中的手电筒，如图1所示。

图1.访问搜索和浏览审计数据

使用左侧的构面选择要添加到过滤器的值。例如，如果要查看是否有人最近放下了对象，则可以选择时间范围，然后选择MongoDB作为“数据库类型”，并放下作为动词。

图2.使用直方图浏览审核数据（构面）

这将缩小结果范围，并包括详细信息，包括放置的对象，时间和发出命令的db用户。由于篇幅所限，图3并未显示所有内容。

图3.过滤后的搜索结果

创建报告

InfoSphere Guardium包含许多内置的报表定义以及丰富的报表构建功能。有些报告会自动填充数据。对于其他用户，必须修改运行时参数以填充报告，例如指定正确的日期范围。

如果您看到喜欢的报告，则还可以克隆用于生成该报告的查询，并对其进行调整以满足您的需求。例如，假设您喜欢名为“ Admin Users Login”的报告。如果您以管理员身份登录，则可以在“每日监视器”选项卡上找到此报告。如果单击该报告，则可能会看到消息No data found ，如图4所示。引起此消息的常见原因是：日期范围不包括该活动出现的时间范围，或者查询的其他方面条件不满足。

图4.内置报告，其中未找到查询结果

通过单击报告下方的黄色铅笔，您可以看到用于创建报告的基本查询，如图5所示。上半部分包含报告中的列，下半部分包含条件。您可以看到该报告的一个条件是“管理员用户”组的运行时参数。

图5.用于生成报告的查询

要查看谁在“管理员用户”组中，可以转到“组构建器”工具。假设您以管理员用户身份登录，请从“ 工具”选项卡导航到“组构建器”。

图6. Group Builder菜单

当“组过滤器”打开时，单击“ 下一步” 。从现有组的列表中，选择Admin Users ，然后单击Modify 。

如果您的MongoDB管理员用户不在列表中，则可以添加它们，如图7所示。

图7.将新的管理用户添加到组

如果报告仍不显示数据，则可以自定义报告以更改数据范围。为此，请单击报告右上方的Customize图标（蓝色铅笔），如图8所示。

图8.通过单击报告portlet右上方的蓝色铅笔来自定义报告

然后，您可以更改日期范围（如图9所示），以包括一个包含整个上周（现在为-1周）的时间范围（当我们知道有活动时）。

图9.扩展报告的日期范围

现在，该报告显示了数据，如图10所示。

图10.报告现在显示数据

我们几乎没有涉及报表定制和创建的内容。但是，在“ 相关主题”中，有一个指向InfoSphere Guardium信息中心中“如何”主题的链接，可以帮助您入门。

使用数据集市提高预定义报告的性能

您可以使用自己的或Guardium预定义的查询和报告来创建数据集市，该数据集市可用来显着提高常用报告的性能。数据集市是基于所需报告结构的指定表。您可以出于汇总目的（例如，几分钟，几小时，几天或几周）定义数据集市的数据粒度，并将其计划为定期运行。由于结构是预定义的，因此无需进行运行时联接或其他资源密集型数据库活动。

与可能需要在Guardium Aggregator上处理大量数据的常规报告一起使用时，数据集市会特别有效。因为数据集市反映了报表的结构，所以不需要复杂的多表联接，从而显着提高了这些报表的性能。

单击报告底部的Data Mart Builder链接，可以将任何报告转换为数据集市，如图11所示。

图11.进入Data Mart Builder的图标

在“数据集市”构建器中，您可以指定运行查询的频率，并在保存时使用该定义创建默认报告。根据您选择的粒度和时间表连续填充数据。

图12.数据集市配置

数据集市配置字段包括数据集市名称，描述，将结果提取到表，表名，时间粒度等。单击“添加到窗格”以将相应的报告添加到UI。

创建审核数据报告并将其添加到工作流中以供审核

运行报告和获得批准并不是每个人的乐趣。此过程的自动化程度越高，您花在担心它上的时间就越少，获得合规官或审计员所需的审计追踪的能力也就越大。使用Guardium，您可以使用审核过程安排报告的运行时间，并自动将其发送给审阅者。系统将跟踪谁进行了审核或签名。可以通过Web界面安全地执行所有必需的操作，包括查看结果，提供批准，评论和升级操作。

图13.审核过程可以自动执行评论和签字的路由

尽管没有足够的空间来详细介绍创建审核流程的过程，但我们确实希望向您展示要点。在此示例中，我们要创建一个审核过程，以将“特权”报告的副本发送给适当的人进行审核。

图14显示了我们的报告的样子。

图14.我们创建的报告称为MongoDB Privilege Report

要将其添加到审核流程中，请转到“审核流程构建器”（如果您以admin身份登录，则从Tools进入）并创建一个新流程。将要求您创建接收方，即接收审核过程结果的人员（或角色）。然后，您将报告添加为此审核过程中的任务，包括希望报告查询涵盖的时间段（例如，从NOW -1 DAY到NOW）。一个流程可以有多个任务，其中可能包含一组报告或其他活动。

图15.审核流程构建器

突出显示构建器的区域，例如计划，接收器和屏幕的“审核任务”部分，您可以在其中添加mongodb特权报告查看任务

您可以计划任务定期运行，例如每天午夜。这样，管理员或DBA便会在早上将其报告保存在电子邮件中。他们的批准（如果需要）和意见将保留为该过程的审计跟踪的一部分。

图16给出了发送的电子邮件示例，其中包含报告的PDF。

图16.审核过程中的示例电子邮件

阻止访问（使用高级活动监视）

在某些情况下，阻止用户访问特定数据至关重要。典型的用例是阻止管理员访问敏感数据或在系统中发现未知用户时。高级活动监视许可证中提供的此功能可在以下情况下帮助保护您的数据：

使用需要限制访问敏感数据的外包DBA
当担心内部或外部存在或即将发生的违规行为时

此功能依赖于S-GATE，它是您通过修改guardtap.ini文件中的某些参数激活的S-TAP的扩展。 S-GATE参数称为“防火墙”参数。因为使用S-GATE可能会引入一些延迟，所以我们建议您在初始化文件中启用S-GATE，但只有在使用某些称为S-GATE ATTACH的策略操作满足某些特定条件时，才将其打开。清单1提供了您在guardtap.ini文件中修改的防火墙参数的示例。

firewall_installed=1    <This enables the S-GATE capability to be used
firewall_fail_close=0
firewall_default_state=0  <S-GATE off by default but can be turned on using a policy  rule
firewall_timeout=10

假设已激活S-GATE ATTACH规则，则该过程的工作方式如下（有关步骤的说明，请参见图17 ）：

当未经授权的用户连接到MongoDB并输入命令时，S-GATE会识别出该特定会话是必须监视的会话。
该命令由S-GATE保留。
将命令与策略进行比较，以查看是否存在策略冲突，例如访问特定的敏感对象或对象组。
如果违反了策略规则，并且您的策略操作是S-GATE TERMINATE，则S-GATE将终止会话，并且该命令将不允许继续到Mongo服务器。如果允许该命令，则该语句允许转到服务器。

图17.阻塞过程概述

有许多不同的组合可用于根据您的需要设置阻止。最重要的是，由于引入了根据策略检查所有传入命令的延迟，因此请确保不要将其用于常规业务应用程序。

根据我们的政策，我们将阻止任何不在“授权用户组”中的人访问任何敏感数据对象。例如，该组可以由授权应用程序的特定ID组成。表1总结了我们将要创建的规则以及每个规则中使用的组。

表1.用于创建样本策略规则的规则和组

规则说明	规则中使用的组
监视未授权的用户（对那些对象不在授权用户组中的用户启用S-GATE进行任何活动。）	授权用户（修改内置组）
阻止未授权用户（敏感数据）	授权用户（修改内置组） MongoDB敏感对象（在本系列文章的第2部分中创建）

现在，我们将描述在适当情况下激活阻止所需的规则。

首先，如图18所示，指定S-GATE重视，大家都谁是不是授权用户将激活S-GATE条件。请注意，这会影响性能，因此您只想在有限的情况下激活S-GATE附加。不建议将其与应用程序流量一起使用。

图18.设置开始监视数据活动的条件

接下来，如果这些用户中的任何一个访问敏感数据，请继续并终止连接。

图19.设置终止用户连接的条件

请注意，当会话被阻止时，这将被写为违反策略，也可以在“事件管理”选项卡上看到。如果您的规则包括警报操作，则该操作还将被写入SYSLOG，以便可以将其转发给SIEM系统，以供安全人员进行跟踪和调查。还可以选择在指定的时间段内隔离用户，以进行安全性调查。

摘要

本系列文章深入探讨了InfoSphere Guardium对MongoDB的支持，但是此处描述的功能适用于多种数据库系统，这反映了代表过去，现在和将来的数据库技术的广泛异构的数据处理系统。。数据库和数据处理技术发展Swift，可以满足新应用程序和用例的需求。 MongoDB是“ NoSQL”技术的领先提供商之一，因此，它与许多需要新技术来处理新数据处理问题的组织中的传统关系数据库一起使用。因此，拥有一种可同时用于关系和NoSQL技术的数据安全和监视解决方案是很有意义的。

InfoSphere Guardium建立在可以适应并快速提供跨各种数据库的数据监视功能的基础之上，包括其他NoSQL系统（例如Cassandra和CouchDB，关系型，大型机数据（包括DB2，IMS和VSAM）或基于Hadoop的数据库）系统，例如InfoSphere BigInsights，Cloudera，Greenplum Hadoop和Hortonworks Data Platform。

在本系列文章中，我们展示了IBM和10gen共同完成的工作成果，以开发和验证MongoDB的InfoSphere Guardium功能。这些产品一起可以提供NoSQL选项，该选项提供组织通常需要的安全性和审核功能，以符合各种隐私和财务法规。

翻译自: https://www.ibm.com/developerworks/data/library/techarticle/dm-1306mongodb3/index.html