发布时间 : 星期六 文章网御星云日志审计系统产品白皮书-V1.0更新完毕开始阅读c067f7afb9d528ea81c77952
关键点 采用的先进技术 异步通讯、高速缓达到的技术效果 能够对海量异构日用户价值和作用 能够采集网络中大规模审计对象的日志 存储长时间的日志信息,满足合规的要求 日志采集 存、日志范式化流水志进行持续不断地线技术 高速采集 高速日志存储、分布TB级日志存储 日志存储 式数据存储技术 内存实时计算、复杂实时地对日志进行实时分事件处理(Complex 监视和关联分析 析 Event Process,简称CEP)技术 日志查询分分析 析 回查询结果 数据抽取、数据摘要能够实现对TB级统计分等技术 析 成
及时发现安全异常,快速关联出安全隐患 全文检索、分布式查能够快速的从TB询技术 级的日志信息中返快速从海量日志中进行定点查询 快速生成各类安全日报、周报、月报等 日志的快速报表生4.2 详尽的日志范式化与日志分类
LEADSEC-RS对收集的各种日志进行范式化处理,将各种不同表达方式的日志转换成统一的描述形式。审计人员不必再去熟悉不同厂商不同的日志信息,从而大大提升审计工作效率。系统提供的范式化字段包括日志接收时间 、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等,数量超过50个,使范式化后的日志详尽而易读,更能满足复杂的多维
度统计分析和审计要求。网御星云的安全技术人员还对每种日志进行了手工分类和分析工作,加入了日志类型字段,丰富了日志所蕴含的信息量,让枯燥的日志信息变的更可理解。
与此同时,LEADSEC-RS将原始日志都原封不同的保存了下来,以备调查取证之用。审计员也可以直接对原始日志进行模糊查询。
4.3 集中化的日志综合审计
LEADSEC-RS提供了强大的日志综合审计功能,为不用层级的用户提供了多视角、多
层次的审计视图。
系统首先为用户提供了全局监视仪表板,可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图,以及网络整体运行态势、待处理告警信息等。用户可以自定义仪表板,按需设计仪表板显示的内容和布局,可以为不同角色的用户建立不同维度的仪表板。
系统提供了实时审计视图,审计员可以根据内置或者自定义的实时监视策略,从日志的任意维度实时观测安全事件的走向,并可以进行事件调查、钻取,并进行事件行为分析和来源定位。审计员可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件;可以实时监视各个部门、各个安全域、各个业务系统的重点安全事件;可以实时监视全
网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件;等等。
系统提供了统计视图,审计员可以根据内置或者自定义的统计策略,从日志的多个维度实时进行安全事件统计分析,并以柱图、饼图、堆积图等形式进行可视化的展示。审计员可以查看一段时间内的主机流量排行、主机登录失败次数排行、活跃病毒排行、网络设备故障排行、最多访问用户排行,等等。
系统提供了日志查询功能,用户可以制定查询策略,针对归一化后的日志或者原始日志进行综合条件查询和模糊查询。
系统提供了规则关联、统计关联等分析方法,通过建立科学的分析模型,协助用户对日志的分析深度与安全事件的识别准确度得到进一步的提升。
4.4 可视化日志审计
LEADSEC-RS为用户提供了丰富的可视化审计视图,充分提升审计效率。
系统可以为用户展示一幅审计数据源的拓扑图,反映审计数据源的网络拓扑关系,并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量。用户点击拓扑节点可以查询日志和告警信息详情。
针对安全日志,用户可以对其源目的IP地址进行追踪,并在世界地图上标注出来。
审计员也可以对一段时间内的日志进行行为分析,通过生成一幅行为分析图形象化地展示海量日志之间的关联关系,从宏观的角度来协助定位安全问题。
4.5 丰富灵活的报表报告
出具报表报告是安全审计系统的重要用途,LEADSEC-RS内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统内置报表生成调度器,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel、Word等格式导出,支持打印。
系统还内置了一套报表编辑器,用户可以自行设计报表,包括报表的页面版式、统计内容、显示风格等。
4.6 对用户网络和业务影响最小
LEADSEC-RS在实现对用户网络中的IT设施进行集中日志审计的同时,采取多种技术手段,力求对用户网络和业务的影响最小化。
审计数据源影响性分析 – 以远程日志采集为主,基本不必安装在审计数据源上日志代理 – 主要采取被动采集技术,不会对审计数据源发起主动连接,不影响审计数据源的现有安全机制 网络影响性分析 – 系统部署无需修改网络拓扑 – 支持多端口日志采集和分布式日志采集器部署,可以就近分别采集多个网段的日志,减少日志流量的汇聚 – 日志采集器在上传日志的时候支持数据压缩,降低网络带宽占用;支持定时上传,可以避开网络流量繁忙期
4.7 友好的用户交互体验