一、背景现如今,每个用户网络包含大量的信息资产,包括各种网络设备、安全设备、主机、应用及数据库等,每种设备类型的日志格式都不相同,即使是记录同一事件,也都有各自的日志规格。例如同样的登录失败信息,防火墙中的描述和主机操作系统中的描述格式就可能根本不相同,这样会迫使审计人员去了解每种设备类型的格式。但是,每个产品的日志量是巨大的,例如一个标准的入侵检测系统每天可能产生超过千万数量的事件日志,海量的数据常常让运维审计工作变得没有毫无头绪,成为业务顺畅运行的挑战。
二、产品简介捷普日志审计系统是一款基于软硬件可控的新一代综合安全事件分析与全局的日志审计系统,硬件平 台核心处理器采用了国产飞腾处理器,搭配国产麒麟操作系统。该系统采用先进的大数据采集、建模、分析技 术,通过对各种网络资源的多维度信息采集和自动化的关联分析,及时发现网络当中的威胁和异常行为,通过 图形化、可视化技术将识别到的各种威胁和异常通过图形化方式直观的展现给用户,有利于用户全面掌握网络 总体安全态势,并迅速做出判断和决策。
三、业务架构四、功能特点高适应性日志采集
捷普日志审计分析系统的核心能力就是对审计数据源的日志采集。对于审计人员而言,采集日志面临的最大挑战就是:审计数据源分散、日志类型多样、日志量大。为此,捷普日志审计分析系统采用多种技术手段,充分适应用户实际网络环境的运行情况,采集用户网络中分散在各个位置的各种厂商、各种类型的海量日志。同时,通过针对链路和资产(网络设备、安全设备、主机、应用及数据库)不间断的连接检查和完整性检查,可确保平台接收到所有数据,并对传输链的各个环节进行监控,消除无关数据,合并重复的资产日志,确保资产数据的全面收集。
详尽的日志范式化和日志分类
捷普日志审计分析系统对收集的各种日志进行范式化处理,将各种不同表达方式的日志转换成统一的描述形式。审计人员不必再去熟悉不同厂商不同的日志信息,从而大大提升审计工作效率。与此同时,捷普日志审计分析系统将原始日志都原封不动的保存了下来,以备调查取证之用。审计员也可以直接对原始日志进行模糊查询。
智能关联分析
捷普日志审计分析系统能够实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析,根据已知的情景作出预防响应,防患于未然。
全面的脆弱性管理
捷普日志审计分析系统可以对安全域中的所有资产进行脆弱性监视,方便用户随时掌握各资产的脆弱性状态,通过实时扫描或者第三方导入报告进行风险三维关联分析。
强大的配置核查
配置核查目的是保障业务系统的安全,为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险。采取必要的配置核查措施,使业务系统达到相对的安全指标要求。捷普日志审计分析系统可对资产进行安全配置核查,对不符合安全性配置及时作出预警和改进建议。
丰富的知识库
捷普日志审计分析系统内置知识文章、安全专家、事故案例、漏洞库、病毒库、补丁库、安全级别要求、等级保护、应急预案等九大类知识类别,超过 20000 条知识,同时支持自行导入导出并可不断更新。
五、产品优势高性能的日志管理技术架构
为了应对海量日志管理带来的挑战,捷普日志审计系统采用了国内领先的高性能日志采集、分析与存储架 构,系统性的设计产品架构,真正使得捷普日志审计系统产品成为一款能够支撑持续海量日志管理的系统。
数据挖掘和数据预测
捷普日志审计系统支持对历史日志数据进行数据挖掘分析,发现日志和事件间的潜在关联关系,并对挖掘 结果进行可视化展示。系统自带多种数据统计预测算法,可以根据历史数据的规律对未来的数据发生情况进行有效预测。
数据挖掘和数据预测
捷普日志审计系统支持对历史日志数据进行数据挖掘分析,发现日志和事件间的潜在关联关系,并对挖掘 结果进行可视化展示。系统自带多种数据统计预测算法,可以根据历史数据的规律对未来的数据发生情况进行有效预测。
数据挖掘和数据预测
捷普日志审计系统支持对历史日志数据进行数据挖掘分析,发现日志和事件间的潜在关联关系,并对挖掘 结果进行可视化展示。系统自带多种数据统计预测算法,可以根据历史数据的规律对未来的数据发生情况进行有效预测。
大规模安全存储
捷普日志审计系统内置 T 级别存储硬盘,可以选配各种 RAID 级别进行数据冗余和安全保障,完全适用等保、密保等行业的应用要求。
六、成功案例某市应急管理局拥有较多的业务系统,各个业务系统之间的日志没有一个统一的日志存储设备,因此日志不好进行管理,遇到需要核查日志的情况下,较难导出完整的日志,不利于事件的调查。上线了本产品后,该单位拥有了一个统一的日志留存设备的,通过本设备可以实时看到每个系统回传日志的情况,并可以拥有一个统一的查询渠道,给该单位带来了极大的便利。