Imperva常见问题处理手册V5.docx
《Imperva常见问题处理手册V5.docx》由会员分享,可在线阅读,更多相关《Imperva常见问题处理手册V5.docx(47页珍藏版)》请在冰豆网上搜索。
Imperva常见问题处理手册V5
IMPERVA产品
的常见问题处理手册
Version1
SinogridInformationTechnologyLtd.
2022-04-27
修改记录
时间
版本
编写/修改人员
审核人员
备注
2010-05-19
V1.0
LevinChen
创建该文档
2010-06-06
V1.0
LevinChen
增加1.9、1.10、1.11、3.12
2010-06-07
V1.0
RuiqiangLu
增加3.8,以前3.8节到3.12节往后顺延,另增加3.14、3.15
2010-09-18
V1.0
RuiqiangLu
增加3.16,2.1,2.2,2.3,2.4
2010-09-21
V1.0
RuiqiangLu
增加2.5
2010-11-29
V1.0
RuiqiangLu
增加3.17
2011-01-14
V1.0
RuiqiangLu
增加1.12、1.13、1.14。
、1.15
DSG设置相关问题处理说明
1.1.如何对数据库中的敏感表设置操作限制,当有用户对敏感表进行限制操作时,立即产生告警?
进入MainàPoliciesàSecurityàCreateNewàDBService,在FromScratchType中选择DBServiceCustom,然后填写好策略名称,新建一条告警策略:
在DestinationTables中选择敏感表,在Operations选择敏感操作:
测试对该敏感表的限制操作,并在MonitoràAlerts中查看实时告警:
警告:
在设置好告警策略后一定要应用到相应的数据库ServerGroup中的service,否则告警无效。
注:
以上配置也可以在Profile中实现
1.2.如何对数据库中的敏感表设置用户访问限制,当没有权限的用户对敏感表进行操作时,立即产生告警?
进入MainàPoliciesàSecurityàCreateNewàDBService,在FromScratchType中选择DBServiceCustom,然后填写好策略名称,新建一条告警策略:
在DatabaseUserNames中选择有权限的用户名,在DatabaseandSchema选择数据库方案,在DestinationTables中选择敏感表:
测试用没有敏感表权限的用户操作,并在MonitoràAlerts中查看实时告警:
1.3.如何对数据库表的字段设置用户访问限制,当没有权限的用户对该表的字段进行操作时,立即产生告警?
进入MainàPoliciesàSecurityàCreateNewàDBService,在FromScratchType中选择DBServiceCustom,然后填写好策略名称,新建一条告警策略:
在DatabaseUserNames中选择有权限的用户名,在DatabaseandSchema选择数据库方案,在Columns中填写表的敏感字段:
测试用没有该表权限的用户操做敏感字段,并在MonitoràAlerts中查看实时告警:
1.4.如何对数据库敏感表中的敏感数据设置访问限制,当用户对敏感数据进行操作时,立即产生告警,且敏感数据在告警中以星号显示?
进入MainàSetupàGlobalObjectsàDatabaseTableGroups中创建自定义敏感表组,填写好名称,选择好数据分类(分类可以自定义,只是标识)
在新建TableGroups中将表名在右边添加进去
进入MainàSitesàServerGroupàDBServiceàDefaultOracleApplication中,在TableGroups中将刚才新建的UsersTableGroups添加进去
进入MainàPoliciesàSecurityàCreateNewàDBService,在FromScratchType中选择DBServiceCustom,然后填写好策略名称,新建一条告警策略:
在SensitiveDataAccess中选择Sensitive,在SensitiveDictionarySearch选择敏感数据字典,在TableGroups中选择敏感表:
进入MainàSitesàServerGroupàOperation中,设置敏感数据在Imperva设备中以*显示,防止敏感数据的泄露:
测试敏感数据操作,并在MonitoràAlerts中查看实时告警:
注:
以下配置为敏感数据在审计中的审计实现,同样保证敏感数据的安全
进入MainàPoliciesàAuditàCreateNewPolicy,然后填写好策略名称,新建一条审计策略:
在SensitiveDataAccess中选择Sensitive,在SensitiveDictionarySearch选择敏感数据字典,在TableGroups中选择敏感表:
测试敏感数据操作,并在AuditàData中查看实时告警:
1.5.如何设置数据库Profile中的Blacklisttablegroups,当用户访问特别禁止其访问的表(黑列表)时,立即产生告警?
进入MainàSetupàGlobalObjectsàDatabaseTableGroups中创建自定义敏感表组,填写好名称,选择好数据分类(分类可以自定义,只是标识)
在新建TableGroups中将表名在右边添加进去
进入MainàSitesàServerGroupàDBServiceàDefaultOracleApplication中,在TableGroups中将刚才新建的UsersTableGroups添加进去
进入MainàProfileàServerGroupàDBServiceàDefaultOracleApplication中,在Restrictions中将刚才新建的UsersTableGroups添加到Blacklisttablegroups
测试访问该表,并在MonitoràAlerts中查看实时告警:
1.6.如何清除当前的审计数据?
因为审计数据是跟策略有关联,所以删除审计数据指的是删除审计策略的审计数据,进入MainàPoliciesàAudit,选择需要清除审计数据的策略,然后点击右上角的Actions选择下拉菜单PurgeNow:
在右边的Archiving标签中勾选Purgerecordsolderthan1Days,表示清除一天前的审计数据,即,例如今天是23日就是删除22日前的所有数据。
然后等待过程完成,在回到审计数据查看页面Update数据,就可以看到数据已经清除。
注:
如果无法清除数据,可以重试一两次,再无法清除请查看设备补丁情况,如:
在7.0系统中,Patch13和Patch2都有对无法清除数据的Bug修复。
1.7.如何设置没有具体数据库访问内容的违规告警,当用户访问执行“Select*”时,立即产生告警?
进入MainàSetupàSignatures中创建自定义签名库,填写好名称,选择分类
在新建的签名库中添加签名,注意正则表达式为:
part=”select”,rgxp=”^select\s+\*(?
!
.*where).*$)”
上述签名是用于匹配不带条件的Select*操作,下面的签名是匹配带条件的Select*,如下:
part=”select”,rgxp=”select\s+\*\s.*where”
进入MainàPoliciesàSecurityàCreateNewàDBService,在FromScratchType中选择OracleSignatures,然后填写好策略名称,新建一条审计策略,将刚才的签名库关联该策略:
分别测试两种签名,不带条件的Select*如下:
像上述测试,带条件的操作应该会被排除出去,告警结果如下:
带条件的Select*如下:
告警结果如下:
1.8.如何设置数据库存储过程访问权限的违规告警,当为授权用户访问存储过程时,立即产生告警?
进入MainàPoliciesàSecurityàCreateNewàDBService,在FromScratchType中选择DBServiceCustom,然后填写好策略名称,新建一条告警策略:
在StoredProcedure中选择相应的存储过程名,在DatabaseUserNames选择有权限的用户名:
测试创建储存过程skeleton:
测试操作存储过程,并在AuditàData中查看实时告警:
1.9.出现日志Thelogis“filenumberlimitreached,dataislost”and“Gatewaylostauditdataduetoextremecollectionrate”,没有审计数据,重新启动后也不行如何处理?
修改GW的配置文件/opt/SecureSphere/etc/bootstrap.xml中的参数max-saved-files="2190"把默认的值2190修改为10000,然后重新启动设备就能解决问题。
此问题的产生是由于用户频繁的查看审计数据,频繁使用Lasthour,Lastday等选项,这些操作会自动产生很多临时的文件,导致系统的文件数超过了2190。
而这些文件不能手工进行删除,系统会在purge数据的时候自动清除临时文件。
1.10.默认情况下,设备阻断请求的方式是使用发送reset数据包,这样在一些情况下可能会发现攻击还是可以通过设备后如何处理?
修改设备的配置参数,使得设备能够直接丢弃攻击数据,修改GW上的配置文件/opt/SecureSphere/etc/hades.cfg,在7.5版本中此文件是链接到/opt/SecureSphere/etc/hades_ob.cfg,修改此文件中的tcp_drop_after_block参数,此参数的默认值为0,修改为1即可。
1.11.如何配置UUT,实现数据库审计的前端WEB应用用户跟踪?
首先,合理创建你的web服务器组和数据库服务器组,这样可以使设备正确的学习到你的Web架构,即Profile。
进入ProfileàOverviewàxxServerGroupàxxServiceàDefaultWebApplication,
点击右上角Display按钮,选择WebApplicationUserTracking,
配置用户跟踪页面,例如login.asp,一般情况下该URL会自己学习到,如果没有则需要手工增加;然后设置用户名字段以及登录尝试规则,可以参考截图设置,
尝试登录失败,查看设备警告看是否正确学习到User:
在MainàSiteàxxDBServerGroupàxxDBServiceàApplicationUserTracking中选择Servicename,即Web服务器组的service,并且选择Enable启用,
选择完servicename后,点击+可以选择IPGroup和数据库用户名,
至此UUT的配置以及完毕,这时候到数据库审计数据查看中添加ApplicationUser和WebsourceIP等字段。
注意:
如果环境中没有流量,需要尝试登录操作数次然后在查看是否有学习到审计数据,测试中可以通过更改/opt/SecureSphere/etc/hades.cfg使设备可以快速学习到流量,此方法适用于测试环境
webdb_grace_period_time:
60>>1
webdb_min_system_time:
5400>>1
webdb_min_query_time:
5400>>1
webdb_min_url_time:
5400>>1
webdb_sensitivity_factor:
6>>1
更改完可以通过查看cat/proc/hades/sg_XXXServer_Group/nzcounters|grepwebdb查看测试结果。
警告:
以上参数修改需要重启设备才可以生效!
(以上方法适用于7.0以下版本)
1.12.DB2Agent(SharedMemory)是否可以本地阻断?
系统可以成功设置阻断,无需重启或者其他设置。
在Agent>Setting中设置Block>Inline后,save后立即生效。
触发阻断动作后,Agent会直接把该用户的数据库连接阻断。
也就是把数据库连接踢下去了,需要重新connectDB才可以重新做数据库操作。
1.13.DB2数据库审计中,使用sniffering模式下,上线时不能看到数据的分析
在使用Impervasniffering模式,直接镜像数据后看不到审计数据,此时需要数据库连接断开,并重新连接一下,最简单方法是把DB2的实例重新启动一下,即可。
此情况下,如果是oracle或MSSQLserver,Imperva可以看到SQL语句,但不能看到用户名,用户名处会显示ConnectedUser,Imperva可以识别这两种数据库协议中的部分数据,但对于DB2需要Imperva从连接初就要进行监控,否则Imperva不能识别数据库协议中的数据字段,所以在DB2中如果不是重新建立的连接,则不能审计到。
1.14.Init0关机的注意事项
Init0只是关机的不同方式,init0可以实现命令结束后,设备就直接掉电了(没有按设备上硬件的onoff开关),shutdown命令,可以关闭所有进程和系统,但是设备还是没有掉电,需要手工按一下onoff开关,掉电。
所以如果init0命令执行后,设备掉电了,但是onoff开关还处于on的状态,如果你的电源线没有拔掉重插上,那么按onoff开关就没有反应。
必须把电源线全部重新拔插一遍,然后onoff按钮才复位。
1.15.IMPHA配置及切换
在GW上使用impcfg命令进行模式的设定,将模式设定为IMPHA,然后再进入Interface的配置,将指定的Bridge变为HAon的模式。
GUI上无需配置什么,登陆GUI界面后会看到GW的状态为IMPHA的模式,failopen、failclose的部分不可以选,是灰掉的,显示为IMPHA状态。
IMPHA其实还是一个类似STP的机制,系统插拔网线或者关闭电源切换,会丢失大概6-7个ping包。
故障GW重新恢复回来后,会重新切换,又会丢6-7个ping包。
WAF设置相关问题处理说明
2.1.如何disable威胁雷达功能?
威胁雷达功能需要单独购买license,如果没有license的时候,会经常进行报警,可以通过disable威胁雷达功能来实现清除关于威胁雷达的报警信息,步骤如下:
通过AdminàSystemDefinitionàThreatRadarSettingsàGeneralSettings中,取消ThreatRadarisEnabled的复选框即可disable威胁雷达功能,反之亦然。
2.2.如何配置使SecureSphere只学习有参数的url成为profile?
对于没有参数的url学习成为Profile,会使得profile的数量很大,降低SecureSphere的性能。
为了保证系统的性能可以只学习有参数的url为profile,配置如下:
1.使用root通过SSH登录系统。
2.编辑/opt/SecureSphere/etc/bootstrap.xml增加下列加黑内容:
增加的位置在“gateway”和“hsms”之间。
如下:
3.重新启动gateway,使用命令:
impctlgatewayrestart
注意:
此配置只针对GET,HEAD
2.3.如何监控WEB页面的返回内容?
对于某些WEB页面,需要监控其返回的内容,在SecureSphere中需要配置特定策略,策略中配置返回页面,配置如下:
MainàPoliciesàSecurityààAdvancedàDisplayresponsepageinalerts,选择此复选框即可完成针对此策略的监控返回内容的配置。
返回页面的内容会在:
MainMonitorViolationsResponse中显示,如下图:
2.4.如何定制错误页面?
对于各种攻击SecureSphere配置错误页面,错误页面分为另种:
默认错误页面和自定义错误页面。
默认错误页面配置如下:
MainàSetupààOperationàDefaultErrorPage,选中UseDefaultErrorPage复选框,同时选择redirect或page即可。
自定义错误页面配置如下:
1.创建错误页面:
MainàSetupàGlobalObjectsàWebErrorPageGroupsàWebErrorPages,选择新建一个页面,新页面可以选择重定向或自定义页面,如下图:
2.创建错误页面策略:
MainàSetupàGlobalObjectsàWebErrorPageGroupsàWebErrorPagePolicies,选择新建一个错误页面策略,此策略可以根据IP、HTTP版本、语言、文件类型、Host、Cookie等信息的不同指向不同的自定义新页面,如下图:
3.在Service中配置错误页面策略:
MainàSetupààOperation,取消UseDefaultErrorPage复选框,同时在WebErrorPagePolicies中创建并选择相应的错误页面策略,即可完成,如下图:
2.5.如何为特定策略添加例外?
例外是为特定应用而设置,可以保证某些触发了特征值,但属于正常业务的应用正常的运行。
添加例外可以通过两种方式进行:
1.通过告警信息来设置:
MainàMonitoràAlertsàà
àAddasExceptionàOK,即可完成。
添加例外的结果如下(添加的例外是针对这个特定的特征以及URL):
2.直接在策略中添加例外:
MainàPoliciesàSecurityààAdvancedà
à,再设置例外条件即可完成,见下图:
设备运维处理说明
3.1.如何查看设备序列号?
[root@localhosttmp]#impctlplatformdmishow|grepSerial\Number:
0913********这是设备序列号
SerialNumber:
QSCL85000095
SerialNumber:
NotSpecified
SerialNumber:
NotSpecified
SerialNumber:
NotSpecified
SerialNumber:
00000000
SerialNumber:
00000000
SerialNumber:
MemUndefined
SerialNumber:
00000000
SerialNumber:
00000000
SerialNumber:
MemUndefined
3.2.如何查看设备平台号?
[root@localhosttmp]#impctlplatformshow
asset-tagG4CLS4
hard-asset-tagG4CLS4
vendorImperva
modelG4CLS4
version6.2.0.6442
注:
可以同时看到设备平台号G4和设备软件版本号为6.2.6442
3.3.如何快速查看设备管理口配置?
[root@localhosttmp]#impctlplatformnetworkinterfaceshow
managementdevice=eth0,address=192.168.1.218,mask=255.255.255.0,broadcast=192.168.1.255,proto=static
[root@localhost~]#impctlplatformnetworkrouteshow
platform:
defaultgateway=192.168.1.254
3.4.如何快速查看Sniffing模式下设备监听接口配置?
[root@localhostsniffing]#impctlgatewaysniffingshow
sniffingdevice=eth2
sniffingdevice=eth3
sniffingdevice=eth4
sniffingdevice=eth5
blockingdevice=eth1
注:
如果设备无法抓取到数据时,请确认你的监听接口配置
3.5.如何查看设备软件版本号和Patch号?
[root@sinogrid_imperva~]#impctl--version
7.5.0.7564
[root@sinogrid_imperva~]#cat/opt/SecureSphere/etc/patch_level
FriApr1615:
25:
01CST2010
7.5.0.7564-0
注:
上述结果显示设备的软件版本号为7.5.0.7564,Patch号为0(即,安装Patch0补丁。
)
3.6.如何查看设备gateway情况?
[root@sinogrid_imperva~]#impctlgatewayshow
namesinogrid_imperva设备名称
modebridge-stp设备部署模式
var-dir
data-encryption
local-dir
server-address127.0.0.1
server-port8080
listener-address127.0.0.1
listener-port80
listener-sslEnabled
external-listener-
升级会员 