日志審計分(fēn)析平台
産品概述:
雲湧日志審計分(fēn)析平台,具有日志采集、審計分(fēn)析、事件查詢、報表生成、設備監控、日志數據備份六項主要安全功能,是一款智能的(de)全網日志采集、分(fēn)析、審計與安全威脅監測産品。
雲湧日志審計分(fēn)析平台以大(dà)數據、機器學習(xí)技術爲核心,快(kuài)速全面的(de)收集各類主機、數據庫、安全設備、中間件以及業務系統等的(de)日志信息,并進行日志全量存儲、高(gāo)級分(fēn)析,及時(shí)有效的(de)發現異常行爲和(hé)安全事件,滿足用(yòng)戶高(gāo)效運維、安全分(fēn)析及合規審計的(de)需求。采集方式支持Syslog、數據庫等。
産品架構包括:數據源、采集層、計算(suàn)層、業務層、展示層。
¨ 數據源
數據源是指采集的(de)日志對(duì)象,包括各類型的(de)網絡設備、安全設備、數據庫、服務器、應用(yòng)系統、中間件等能産生相關日志的(de)設備和(hé)信息系統。
¨ 采集層
日志采集層利用(yòng)Syslog、SNMP trap、WMI、FTP 、agent或流量鏡像等方式進行日志采集,從數據源獲取日志數據,并根據規則進行過濾、歸并,同時(shí)把采集過來(lái)的(de)非結構化(huà)的(de)數據轉換成結構化(huà)的(de)數據。同時(shí)基于行爲、狀态等進行機器學習(xí),提供給計算(suàn)層分(fēn)析。
¨ 計算(suàn)層
當業務層需要使用(yòng)到采集到的(de)數據時(shí),由計算(suàn)層對(duì)采集到的(de)數據進行提取、分(fēn)析、統計。如産生安全事件告警時(shí),由計算(suàn)層提取數據,匹配業務層配置的(de)安全策略進行分(fēn)析,當判斷有高(gāo)危事件時(shí),匹配業務層配置的(de)告警訂閱進行對(duì)應處理(lǐ)觸發相應告警動作。
¨ 業務層
包括資産管理(lǐ)、日志源管理(lǐ)、日志檢索、安全策略、統計報表等一系列用(yòng)戶實際使用(yòng)業務,用(yòng)戶通(tōng)過不同業務功能對(duì)系統進行不同的(de)管理(lǐ)操作。
¨ 展示層
包括首頁綜合展示、檢索查詢結果、報表、統計圖表等最終展示效果。
系統架構如下(xià)圖所示:
産品特點:
安全合規
國家主管部門越來(lái)越重視網絡安全建設,陸續出台了(le)《中華人(rén)民共和(hé)國網絡安全法》、等級保護、分(fēn)級保護等法律法規。各行業随著(zhe)網絡應用(yòng)比重加大(dà),制定了(le)行業标準和(hé)規範。系統優先保障存儲網絡日志6個(gè)月(yuè)滿足各項要求,同時(shí)内置基于等保合規性要求的(de)分(fēn)析及報表,可(kě)以提供用(yòng)戶開展合規性建設工作的(de)技術支撐。用(yòng)戶通(tōng)過豐富的(de)合規分(fēn)析對(duì)全網的(de)安全事件進行全方位、多(duō)視角、細粒度的(de)監測、查詢、統計、分(fēn)析,動态掌握網絡的(de)合規情況。通(tōng)過系統對(duì)海量日志的(de)采集、存儲、分(fēn)析能力,完全滿足合規性要求。
提升全網安全性
雲湧日志審計分(fēn)析平台能夠實現全維度、跨設備、細粒度關聯分(fēn)析,内置衆多(duō)的(de)關聯規則,支持網絡安全攻防檢測、合規性檢測、脆弱性監視,客戶可(kě)輕松實現各資産間的(de)關聯分(fēn)析,根據已知的(de)情景作出預防響應,防患于未然。
提高(gāo)IT運維效率
雲湧日志審計分(fēn)析平台實時(shí)采集并監控分(fēn)析主機、數據庫等日志及指标數據,洞察 IT 基礎架構和(hé)業務服務運行狀況;基于機器學習(xí)的(de)智能化(huà)運維管理(lǐ),快(kuài)速定位系統故障,增強故障分(fēn)析及處置能力,提高(gāo)自動化(huà)運維管理(lǐ)效率。
産品功能列表:
|
功能模塊 |
功能描述 |
|
審計儀表盤 |
¨ 支持自定義儀表盤,可(kě)在一個(gè)儀表盤中選擇多(duō)個(gè)對(duì)應的(de)微件,可(kě)涵蓋日志中的(de)所有字段,儀表盤具有全屏監控功能 ¨ 儀表盤中可(kě)直接導入事件統計中的(de)各類圖表 ¨ 支持實時(shí)監控,支持配置實時(shí)監控策略 ¨ 支持創建多(duō)個(gè)儀表盤 |
|
資産管理(lǐ) |
¨ 支持資産主動發現。通(tōng)過對(duì)網絡進行資産掃描,可(kě)将發現的(de)IP對(duì)象轉資産或删除 ¨ 支持資産被動發現。可(kě)将網絡劃分(fēn)成多(duō)個(gè)安全域,系統能自動發現安全域中的(de)IP對(duì)象,并可(kě)以轉資産或删除 ¨ 支持添加、修改、删除資産;支持對(duì)資産的(de)基本屬性進行維護,并可(kě)以增加自定義屬性 ¨ 支持拓撲自動發現,可(kě)手動添加拓撲,并能夠展示整體安全、事件分(fēn)布、告警分(fēn)布等 ¨ 支持資産自定義分(fēn)級分(fēn)組、标簽 ¨ 支持在一個(gè)資産下(xià)添加多(duō)個(gè)日志源(日志采集的(de)對(duì)象) ¨ 支持資産性能監控,如監控CPU、内存、磁盤使用(yòng)率等資産指标 ¨ 支持資産地圖,可(kě)查看資産整體安全狀态、性能指标信息以及關聯日志源的(de)日志信息 |
|
日志采集 |
¨ 支持采集的(de)對(duì)象包括安全設備、網絡設備、操作系統、數據庫、中間件、應用(yòng)系統、虛拟機等 ¨ 支持主動、被動相結合的(de)數據采集方式,支持通(tōng)過Agent采集日志數據,支持通(tōng)過Syslog、SNMP Trap、HTTP、TCP、telnet、JDBC、WMI、文件、Kafka等方式采集日志 ¨ 支持日志标準化(huà)解析(範式化(huà)、歸一化(huà)),将不同格式日志解析爲多(duō)個(gè)字段,自動識别系統類型至少達到200種 ¨ 支持日志自定義解析,系統自帶圖形化(huà)工具,可(kě)通(tōng)過GROK、分(fēn)隔符、JSON、XML、時(shí)間等自定義解析規則 ¨ 支持解析規則的(de)批量導入/導出 ¨ 支持日志源的(de)自動發現,根據接收到的(de)日志自動識别并創建日志源 ¨ 支持日志源的(de)自定義分(fēn)級分(fēn)組 ¨ 支持不同設備相同IP的(de)日志識别 ¨ 支持自定義日志過濾策略,支持全局過濾、局部過濾,可(kě)選擇對(duì)單個(gè)或多(duō)個(gè)日志源進行日志過濾 ¨ 日志過濾支持字段過濾與指定時(shí)段過濾 ¨ 支持對(duì)單個(gè)/多(duō)個(gè)日志源批量轉發,支持定時(shí)轉發,可(kě)通(tōng)過Syslog、TCP和(hé)Kafka方式轉發到第三方平台,并且支持轉發原始日志和(hé)已解析日志 |
|
日志分(fēn)析 |
¨ 系統内置審計策略,内置審計策略至少600條 ¨ 支持自定義審計策略 ¨ 支持從審計策略模闆直接創建策略,并可(kě)通(tōng)過事件的(de)任意字段制定規則創建策略 ¨ 審計策略可(kě)以定義審計事件的(de)名稱、分(fēn)類、級别以及命中後是否繼續匹配其餘審計策略 ¨ 提供預置審計策略模闆,包括:Windows主機類審計策略模闆、Linux/Unix主機類審計策略模闆、防火牆類審計策略模闆、掃描器類審計策略模闆、IDS/IPS類審計策略模闆、防病毒類審計策略模闆、數據庫系統類審計策略模闆、薩班斯審計策略模版、等級保護審計模闆等 ¨ 内置網站攻擊、主機異常、賬号異常、暴力破解、漏洞利用(yòng)、權限異常等至少10種安全分(fēn)析場(chǎng)景,内置關聯規則至少400條 ¨ 支持關聯規則自定義設置功能,支持類型包括過濾規則、統計規則、序列規則、模式規則、多(duō)源日志關聯和(hé)機器學習(xí) ¨ 支持跨設備的(de)多(duō)事件關聯分(fēn)析,若日志滿足系統内置或用(yòng)戶定義的(de)關聯規則,将産生關聯事件 ¨ 關聯事件管理(lǐ)可(kě)以統一監控事件的(de)命中情況,包括來(lái)源的(de)設備、事件類型、最近命中時(shí)間以及命中總次數等 ¨ 支持接收來(lái)自下(xià)級日志采集器轉發的(de)日志、安全事件和(hé)告警事件進行二次分(fēn)析、關聯 ¨ 支持自定義數據字典,系統可(kě)從各類日志、事件中抽取相關片段準确和(hé)完整地映射至安全事件的(de)标準字段,内置映射字段至少達到1000個(gè) ¨ 支持活動列表,可(kě)動态維持數據之間的(de)關系映射,如賬号與審計人(rén)員(yuán)、IP與審計人(rén)員(yuán)、是否是上班時(shí)間等 ¨ 支持地理(lǐ)信息映射,根據其所選IP字段,映射到國家、省份、城(chéng)市、安全域等 |
|
流量審計 |
¨ 支持對(duì)鏡像流量的(de)審計,審計内容包括mysql、pgsql、mongodb、redis、人(rén)大(dà)金倉、http等數據庫和(hé)流量審計 |
|
日志檢索 |
¨ 支持對(duì)解析後日志、安全事件、告警事件、原始日志等的(de)查詢 ¨ 支持日志查詢普通(tōng)模式,可(kě)通(tōng)過關鍵字等方式查詢 ¨ 支持日志查詢高(gāo)級模式,可(kě)通(tōng)過多(duō)關鍵字、模糊、正則表達式等方式組合查詢 ¨ 支持将查詢結果進行保存、導出 ¨ 支持查詢條件保存爲查詢模版,用(yòng)于後續快(kuài)捷調用(yòng) |
|
統計報表 |
¨ 支持生成綜合報表、數據報表和(hé)統計報表 ¨ 支持導出PDF、WORD、EXCEL、CSV報告 ¨ 内置事件統計策略和(hé)圖表,支持自定義事件統計策略和(hé)圖表 |
|
告警管理(lǐ) |
¨ 系統内置豐富審計類和(hé)關聯類告警策略,并靈活支持自定義策略 ¨ 對(duì)于告警的(de)處理(lǐ)主要包括忽略、處理(lǐ) ¨ 具備告警合并和(hé)在一個(gè)時(shí)間段内抑制報警次數的(de)能力 ¨ 可(kě)指定告警接收人(rén)員(yuán) ¨ 告警方式包括短信、郵件、釘釘等 |
|
知識庫 |
¨ 内置知識文章(zhāng)、事故案例、安全級别要求、典型日志事件介紹、日志審計配置指導等。并支持自定義創建增加知識庫内容 |
|
系統管理(lǐ) |
¨ 支持系統參數配置,包括自定義磁盤、CPU、内存等百分(fēn)比告警阈值 ¨ 支持系統基本配置,包括修改主機名稱、網絡接口IP、路由等,内置抓包、PING、端口測試等工具 ¨ 支持設置日志存儲備份策略,包括系統日志保存期(容量/天)、磁盤使用(yòng)率百分(fēn)比等 ¨ 支持日志文件遠(yuǎn)程備份到外置存儲節點,支持FTP、NFS、ISCSI、SMB等存儲方式 ¨ 支持數據容錯,支持将錯誤日志重新入庫 ¨ 日志接收隊列大(dà)小可(kě)配置,可(kě)存儲因超過最大(dà)接收性能而未入庫的(de)日志 ¨ 支持集群管理(lǐ),支持審計中心、日志采集器的(de)策略配置及下(xià)發 ¨ 支持個(gè)性化(huà)管理(lǐ),用(yòng)戶可(kě)自定義新的(de)平台名稱、導航欄名稱、LOGO标識等 |
|
用(yòng)戶管理(lǐ) |
¨ 用(yòng)戶支持三權分(fēn)立設計模型 ,支持自定義權限角色 ¨ 支持連續登錄失敗鎖定用(yòng)戶,支持自定義失敗次數、鎖定時(shí)間、用(yòng)戶登錄後超時(shí)時(shí)間 ¨ 支持管理(lǐ)員(yuán)訪問控制,可(kě)設置指定IP、網段允許或拒絕管理(lǐ)員(yuán)登錄 ¨ 支持自定義密碼強度設置,可(kě)自定義用(yòng)戶密碼強度要求,密碼複雜(zá)度、長(cháng)度 ¨ 支持多(duō)因子認證,認證方式可(kě)爲郵件、短信 |
|
部署要求 |
¨ 支持集中和(hé)分(fēn)布式部署、集群部署、熱(rè)擴容 ¨ 系統全面支持IPV4/IPV6 ¨ 采用(yòng)B/S架構操作方式,無需安裝客戶端軟件 ¨ 采用(yòng)旁路接入模式,設備部署不影(yǐng)響原有網絡結構 |
