产品概述
日志审计系统具备对整个信息系统中的各类日志进行集中采集、集中管理、集中审计的能力。
该系统能够实时采集企业和组织中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志、事件、报警等信息,并将数据信息汇集到展示平台,进行集中存储、展现、查询和审计。它适用于对日志管理要求较高的政府机关、运营商、金融机构及一些大中型企业。
产品功能
1. 日志事件标准统一化
以标准方式处理以下元素:
- 各种安全事件日志(攻击、入侵、异常)
- 各种行为事件日志(内控、违规)
- 各种弱点扫描日志(弱点、漏洞)
- 各种状态监控日志(可用性、性能、状态)
- 安全视角的事件描述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类
2. 日志采集类型标准化
- 支持对各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)的采集。
- 采集内容包括述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。
3. 日志全量收集智能化
- 不断的连接检查和完整性检查以及可自定义的缓存功能,可确保平台接收到所有数据,并对传输链的各个环节进行监控;可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志,强大的数据压缩功能可节省昂贵的带宽。
4. 日志综合审计一体化
- 强大的日志综合审计功能,可为不同层级的用户提供了多视角、多层次的审计视图。
- 全局监视仪表板,可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图,以及网络整体运行态势、待处理告警信息等。
- 统计视图,审计员可以根据内置或者自定义的统计策略,从日志的多个维度实时进行安全事件统计分析,并以柱图、饼图、堆积图等形式进行可视化的展示。
- 规则关联、统计关联等分析方法,通过建立科学的分析模型,协助用户对日志的分析深度与安全事件的识别准确度得到进一步的提升。
5. 日志解析规则创新化
- 解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等);日志解析性能与接入的日志设备数量无关。
6. 日志关联规则可视化
- 标准化之上的关联规则,适应性强
- 可定制性强,几乎可根据通用事件的任何字段进行关联
- 基于逻辑表达式,可以进行复杂关联
- 时序宽容,无惧乱序
7. 日志维护配置多样化
- 系统具有对自身的维护配置功能,如:系统参数设置、系统日志管理等。 硬件系统采用模块结构,保证系统内存、CPU及储存容量的扩展;硬件配置的升级不会引起软件的修改和开发;每个组件都可以横向扩展,通过增加设备满足业务需求。