I 方案简介
数据源分散、日志类型多样、日志量大。为此,一创日志审计系统采用多种技术手段,充分适应用户实际网络环境的运行情况,采集用户网络中分散在各个位置的各种厂商、各种类型的海量日志。同时,通过针对链路和资产(网络设备、安全设备、主机、应用及数据库)不间断的连接检查和完整性检查,可确保平台接收到所有数据,并对传输链的各个环节进行监控,消除无关数据,合并重复的资产日志,确保资产数据的全面收集。
II 方案功能
一创软件日志审计系统(LAS)用户全面掌握网络总体安全态势,并迅速做出判断和决策。
1.日志范式化
一创日志审计系统对收集的各种日志进行范式化处理,将各种不同表达方式的日志转换成统一的描述形式。审计人员不必再去熟悉不同厂商不同的日志信息,从而大大提升审计工作效率。与此同时,一创日志审计系统将原始日志都原封不同的保存了下来,以备调查取证之用。审计员也可以直接对原始日志进行模糊查询。
2.多协议采集
系统利用数据采集引擎、数据处理引擎采用被动与主动采集技术相结合,通过包含但不限于Syslog、SNMP Trap、NetFlow、Telnet/SSH、WMI、FTP/SFTP/SCP、JDBC文件等标准协议从审计对象获取海量日志数据。。
3.智能关联分析
一创日志审计系统能够实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析,根据已知的情景作出预防响应,防患于未然。
4.高效处理原始日志
系统会对数据采集引擎采集到海量日志数据进行归一化、过滤、分类等处理,归一化、过滤、分类过程可根据需要配置不同的环节与流程,并同时将原始数据以及处理后的数据交给数据存储子系统进行原始数据以及归一化数据的压缩加密存储。压缩比为10:1,确保原始数据不被篡改的同时极大提高了磁盘空间的利用率。在进行数据归一化的同时系统将原始数据进行分片存储、分片索引,支持直接对原始日志进行全文检索。
5.全面的脆弱性管理
一创日志审计系统可以对安全域中的所有资产进行脆弱性监视,方便用户随时掌握各资产的脆弱性状态,通过实时扫描或者第三方导入报告进行风险三维关联分析。
6.强大的配置核查
配置核查目的是保障业务系统的安全,为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险。采取必要的配置核查措施,使业务系统达到相对的安全指标要求。一创日志审计系统可对资产进行安全配置核查,对不符合安全性配置及时作出预警和改进建议。
7.知识库支撑
一创日志审计系统内置知识文章、安全专家、事故案例、漏洞库、病毒库、补丁库、安全级别要求、等级保护、应急预案等九大类知识类别,超过20000条知识,同时支持自行导入导出并可不断更新。
8.报表统计分析
系统提供十几种的统计主题,且可以根据用户的实际需求,自定义添加报表统计内容。支持管理员从不同角度进行安全信息的可视化分析。统计报表支持按照排行、趋势和概要等进行展示,对于统计结果系统提供了表格及多种图形表现形式(饼图、柱状图、曲线图等),使管理员一目了然。统计周期支持小时、日、月、年等。系统依托独特的统计分析引擎技术,大大减少了管理者在需要时查看统计分析报表的等待时间,海量数据统计分析报表查看时间小于20秒。
