发布时间 : 星期六 文章网御星云日志审计系统产品白皮书-V1.0更新完毕开始阅读c067f7afb9d528ea81c77952
LEADSEC-RS的用户界面采用了WEB2.0风格,具备友好的用户交互体验。系统采用多窗口操作模式,各个功能界面之间可以快速切换,无需重复加载;界面支持换肤,每个用户都可以选择自己喜欢的界面皮肤。
4.8 完善的系统自身安全性保证
LEADSEC-RS具备完善的自身安全性设计,保证系统自身的安全等级符合用户的整体安全策略。系统的自身安全性保证主要体现在三个方面,如下表所示:
日志采集 – 日志采集器与审计中心之间支持加密通讯 – 日志采集器支持存储转发、断点续传 日志存储 – 存储原始日志 – 日志加密混淆存储,防止非法访问和篡改 – 单条日志不能修改、删除 – 支持日志定期备份 系统访问 – 浏览器访问支持HTTPS协议(私密性、完整性) – 采用基于角色的访问控制机制 – 用户身份三权分立,内置系统管理员、审计管理员、用户管理员 – 支持双因素认证 – 支持Radius、LDAP集成
4.9 无缝向安全管理平台扩展
日志审计系统主要功能是收集异构的安全日志,进行存储、分析、告警和报告。作为长期发展规划,实现安全管理平台是最终目标。
安全管理平台不仅包括安全日志(事件)管理,还包括资产/业务管理、应用性能管理、安全风险管理、安全运维管理(工单流程、知识库)和安全态势感知等。LEADSEC-RS安全管理平台采用与LEADSEC-RS完全相同的技术框架,因此,安全管理平台建设可以在现有日
志审计系统基础架构上,通过热插拔的方式实现安全管理的其他功能模块,实现向安全管理平台的无缝扩展。
5 产品功能
5.1 综合展示
用户登录即可进入综合展示首页。通过首页,能够快速的导航到各个功能。用户能够通过仪表板从不同的方面对日志进行审计,可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图,以及网络整体运行态势、待处理告警信息等。用户可以自定义仪表板,按需设计仪表板显示的内容和布局,可以为不同角色的用户建立不同维度的仪表板。用户可以对展示界面进行换肤 。
5.2 资产管理
系统提供资产管理功能,可以对网络中的审计数据源资产进行管理。除基本资产信息外,系统提供灵活的资产分类功能,实现对资产的分类管理。系统提供基于拓扑的资产视图,可以按图形化拓扑模式显示资产,并可编辑资产之间的网络连接关系,通过资产视图可直接查看该资产的日志及告警信息。系统能够根据收到的日志的设备地址自动发现新的资产。
5.3 日志采集
系统能够采集各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志,通过Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等协议进行采集。用户仅需安装部署审计中心,无需另装采集器,即可实现对日志的采集工作。系统也支持通过日志采集器和日志代理的方式采集日志,完全取决于用户的实际需要。
5.4 日志范式化与分类
对于所有采集上来的日志,系统自动进行范式化处理,将各种厂商各种类型的日志格式转换成系统一的格式。系统提供的范式化字段包括日志接收时间 、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、
目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等。
在进行日志范式化的时候,系统对日志进行了信息补齐,加入了日志类型字段,对日志进行自动分类,为后续日志审计提供了便利条件。
与此同时,系统将原始日志都原封不动保存了下来,以备调查取证之用。
5.5 日志过滤与归并
系统可以对采集到的日志进行基于策略的过滤和归并,提升日志审计的效率。通过过滤操作,可以剔除掉无用的日志信息,降低日志噪音。通过归并操作,可以把短时间内满足一定条件的多条日志合并成一条日志,减少日志的存储量。日志过滤和合并策略可以用户自定义,系统默认不进行过滤和合并。
5.6 日志转发
审计中心或者日志采集器都具备日志转发功能,可以将收集到的日志转发给指定的审计中心,或者第三方系统。通过日志转发功能,可以实现日志采集器的分布式部署以及系统级联部署。
日志支持无条件转发,也支持基于过滤规则的转发。系统支持加密压缩转发,支持定时转发,支持断点续传。
5.7 日志采集器管理
系统能够对所有外接的日志采集器进行统一管理。用户可以对日志采集器进行登记、注销,进行日志采集参数的配置,设定范式化、过滤、归并、转发的参数。
5.8 日志代理
如果审计中心无法通过远程方式主动或者被动地采集日志,那么系统提供了一个日志代理软件包。用户可以在被审计设备/系统上安装日志代理,采集到日志后,发送给日志审计系统。
5.9 日志存储