发布时间 : 星期日 文章网御星云日志审计系统产品白皮书-V1.0更新完毕开始阅读c067f7afb9d528ea81c77952
审计对象层是指审计数据源对象,包括各类型的网络设备、安全设备、数据库、应用系统、主机等能产生相关日志的设备和信息系统。
? 日志采集层
该层利用SYSLOG、SNMP、ODBC、OPSEC、文件等多种协议方式,从审计对象获取日志,并对原始日志信息进行范式化、分类、过滤、归并,统一推送到业务层进行分析、存储。
? 业务层
利用关联分析引擎对采集的日志进行分析,触发规则,生成告警记录;通过高性能海量数据存储代理将日志进行快速存储;通过分布式查询引擎实现日志查询;通过日志聚合引擎实现日志抽取。
? 应用层
面向系统的使用者,提供一个图形化的显示界面,展现安全审计系统的各功能模块,提供综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。
2.4 产品功能规格 功能项 日志采集 功能描述 系统支持对包括网络设备、安全设备与系统、主机、中间件、数据库、存储、应用和服务在内的多种审计数据源的日志采集。系统支持以Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI/Win RPC、Shell脚本、VIP、Web Service等协议进行日志采集。 日志范式化 系统自动对所有采集到的日志进行范式化处理,对不同日志格式进行统一描述,并进行日志分类,增加日志类型。 日志过滤 系统可以对采集到的日志进行基于规则的过滤处理,去掉无意义的日志,消除日志噪声。
日志归并 系统可以对采集到的日志进行基于规则的归并处理,将相同的日志内容进行合并,并记录事件条数,提升日志质量。 日志采集器 系统提供可另外部署的日志采集器,每个采集器都能对日志进行采集、范式化、过滤和归并,实现分布式日志采集。日志采集器统一接入审计中心,实现集中化日志审计。 日志代理 系统提供可另外部署的日志代理,安装并运行在审计对象上,实现对审计对象的日志采集和转发。日志代理统一接入审计中心或者日志采集器。 审计数据源管理 系统能够对审计数据源以资产的形式进行统一的维护,能够以列表或者拓扑的方式查看资产清单和详细信息,可以查看每个审计数据源的日志和告警信息。 日志实时监视 系统提供了实时审计视图,审计员可以根据内置或者自定义的实时监视策略,从日志的任意维度实时观测安全事件的走向,并可以进行事件调查、钻取,并进行事件行为分析和来源定位。 日志统计分析 系统提供了统计视图,审计员可以根据内置或者自定义的统计策略,从日志的多个维度实时进行安全事件统计分析,并以柱图、饼图、堆积图等形式进行可视化的展示。 日志查询 用户可自定义查询策略,基于日志时间、名称、地址、端口、类型等各种条件进行组合查询,并可导出查询结果。 日志关联分析 系统具备日志关联分析功能。系统提供了可视化的规则编辑器,用户可以定义基于逻辑表达式的关联规则,所有日志字段都可参与关联。规则支持统计计数功能,可以对达到一定统计数量的日志进行告警。 日志存储 系统将收集来的日志统一安全存储和备份。系统支持数据的自动或手动备份,备份数据可手工恢复,用作日志回查。
综合展示 系统的综合展示功能为不用层级的用户提供了多视角、多层次的审计仪表板。用户可以自定义仪表板。 告警管理 系统支持事件属性重定义、弹出提示框、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送MSN、发送Syslog等告警方式。告警信息可查询,可导入导出。 报表管理 系统内置了丰富的报表报告模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。报表可以调度生成。系统内置报表编辑器,用户可以自定义报表。 用户管理 系统采用基于角色的权限管理机制,提供三权分立设计,内置系统管理员、用户管理员和审计管理员。 系统管理 系统具有丰富的自身配置管理功能,包括自身安全配置、系统运行参数配置、审计资源配置等。系统具有系统自身运行监控与告警、系统日志记录等功能。 2.5 支持审计数据源 目前,LEADSEC-RS支持的部分厂商设备类型如下表所示:
设备类型 交换机 路由器 防火墙 厂商或产品 Cisco、Extreme、Juniper、博科、华为、H3C、神州数码、锐捷 Cisco、Extreme、Juniper、华为、H3C、神州数码、锐捷 网御星云、Cisco、Juniper Netscreen、飞塔、Checkpoint、Nokia、Bluecoat、天融信、东软、方正科技、网御神州、亿阳信通、中/UTM/USG 科网威、中网、阿姆瑞特、卫士通、H3C、迪普、山石 VPN 网闸 IDS/IPS/IDP 网御星云、天融信、Array、Juniper 网御星云、国保金泰、鸿瑞、南瑞 网御星云、Cisco、McAfee、IBM、Snort、Tipping Point、绿盟、
东软、H3C、天融信、安氏、三零盛安、网御神州、理工先河 Symantec、TrendMicro、McAfee、瑞星、金山、江民、冠群金防病毒 辰 Anti-DDoS WAF 负载均衡设备 网御星云、绿盟 启明星辰、Imperva、绿盟、中创InfoGuard F5、信安世纪 安全审计系统 启明星辰、复旦光华、汉邦、格尔、中软、三零盛安 IBM AIX 、HP-UX 、Microsoft Windows、SUN Solaris、Linux操作系统 及其变种 Oracle、SQL Server、DB2、MySQL、Informix、Sybase、国产数据库 数据库 中间件 网管系统 存储系统 业务系统 其它 Weblogic、WebShpere、JBoss、Apache、Tomcat、Domino HP OpenView NNM、IBM NetCool、CiscoWorks HP、IBM、EMC、VERITA 各种用户自有的业务系统(需要定制) 任意Syslog日志源、SNMP Trap日志源 对于目前暂不支持的审计数据源,LEADSEC-RS还提供了方便灵活的扩展机制。只要获得审计数据源的日志样本以及通讯协议方式,编写一份XML格式日志解析文件,导入系统,即可获得对该审计数据源的日志采集能力,无需编码。
2.6 产品型号规格
LEADSEC-RS从产品形态上分为软件型和硬件型。
2.6.1
软件型规格
LEADSEC-RS软件型是一套软件包,可以安装在独立的服务器上运行,系统所需运行环境如下: