產品概述
綜合日誌審計平台作為信息系統的綜合性管理平台,通過對客戶網路設備、安全設備、主機和套用系統日誌進行全面的標準化處理,及時發現各種安全威脅、異常行為事件,為管理人員提供全局的視角,確保客戶業務的不間斷運營安全;通過基於國際標準化的關聯分析引擎,為客戶提供全維度、跨設備、細粒度的關聯分析,透過事件的表象真實地還原事件背後的信息,為客戶提供真正可信賴的事件追責依據和業務運行的深度安全。同時提供集中化的統一管理平台,將所有的日誌信息收集到平台中,實現信息資產的統一管理、監控資產的運行狀況,協助用戶全面審計信息系統整體安全狀況 。
綜合日誌審計平台旨在實現網路資產安全狀況的統一管理,使企業的利益受損風險降低,廣泛適用於政府、金融、運營商、公安、電力能源、稅務、工商、社保、交通、衛生、教育、電子商務及各企事業單位等。
產品組成
綜合日誌審計平台由採集器、通信伺服器、關聯引擎及平台管理器組成,
主要功能
●採集器:全面支持Syslog、SNMP日誌協定,可以覆蓋主流硬體設備、主機及套用,保障日誌信息的全面收集。實現信息資產(網路設備、安全設備、主機、套用及資料庫)的日誌獲取,並通過預置的解析規則實現日誌的解析、過濾及聚合,同時可將收集的日誌通過轉發功能轉發到其它網管平台等。
●通信伺服器:實現採集器與平台間的通信,將格式統一後的日誌直接寫入資料庫並且同時提交給關聯分析模組進行分析處理。通信伺服器可以接收多個採集器的日誌;在平台尚未支持統一日誌格式時,能夠根據要求,將定義的統一日誌轉換為所需要的日誌格式。
●關聯引擎:實現全維度、跨設備、細粒度關聯分析,內置眾多的關聯規則,支持網路安全攻防檢測、合規性檢測,客戶可輕鬆實現各資產間的關聯分析。
●平台管理器:實現所監控的信息資產的實時監控、信息資產與客戶管理、解析規則與關聯規則的定義與分發、日誌信息的統計與報表、海量日誌的存儲與快速檢索以及平台的管理。通過各種事件的歸一化處理,實現高性能的海量事件存儲和檢索最佳化功能,提供高速的事件檢索能力、事後的合規性統計分析處理,可對數據進行二次挖掘分析。
●集中配置管理:系統支持分散式部署,可以在中心平台進行各種管理規則,各種配置策略自動分發,支持遠程自動升級等,極大的降低了分散式部署的難度,提高了可管理性。
●靈活的可擴展性:提供多種定製接口,實現強大的二次開發能力,及與第三方平台對接和擴展的能力。
●其他功能:支持各種網路部署需要,包括日誌聚合、日誌過濾、事件過濾、日誌轉發、特殊日誌格式支持(如單報文多事件)等。
產品優勢
●全面的智慧型收集功能:不斷的連線檢查和完整性檢查以及可自定義的快取功能,可確保平台接收到所有數據,並對傳輸鏈的各個環節進行監控;可配置過濾和聚合功能可以消除無關數據,並且合併重複的設備日誌,強大的數據壓縮功能可節省昂貴的頻寬。
●標準化日誌:各種安全事件日誌(攻擊、入侵、異常)、各種行為事件日誌(內控、違規)、各種弱點掃描日誌(弱點、漏洞)、各種狀態監控日誌(可用性、性能、狀態)、安全視角的事件描述:事件目標對象歸類、事件行為歸類、事件特徵歸類、事件結果歸類、攻擊分類、檢測設備歸類。
●創新的日誌解析能力:解析規則激活,僅當接收到對應的日誌後,規則才會被激活,同時支持未識別日誌水印處理,採用多級解析功能和動態規划算法,實現靈活的未解析日誌事件處理,同時支持多種解析方法(如正則表達式、分隔設定、MIB信息映射配置等);日誌解析性能與接入的日誌設備數量無關。
●先進的關聯算法:標準化之上的關聯規則,適應性強;實時的記憶體關聯功能可確保獲得高性能的處理能力,可定製性強,幾乎可根據通用事件的任何欄位進行關聯;直觀的規則語法,可以讓用戶根據自己情況進行靈活定製,內置重要的關聯規則庫,可以即裝即用。
●可維護性及可擴展性:系統具有對自身的維護配置功能,如:系統參數設定、系統日誌管理等。 硬體系統採用模組結構,保證系統記憶體、CPU及儲存容量的擴展;硬體配置的升級不會引起軟體的修改和開發;每個組件都可以橫向擴展,通過增加設備滿足業務需求。
產品部署
綜合日誌審計平台可以方便部署到現有網路環境中,只需網路能夠到達平台即可實現信息資產日誌的收集與處理。
簡單部署
多級部署