需求分析

      日志审计需求主要源自两个方面的驱动力:一,从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。二,从国家法律法规和行业标准规范的角度出发,日志审计已经成为满足合规与内控需求的必备功能,例如:《网络安全法》第二十一条 (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》对于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计;《互联网安全保护技术措施规定》第八条要求“记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件等安全审计功能”;《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。

 

产品简介

产品简介

      启明星辰推出的新一代泰合信息安全运营中心系统,采用具有自主知识产权的分布式非关系型数据库技术的日志审计系统及日志分析管理解决方案。

      系统能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、索引、备份、全文检索、实时搜索、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。

      系统采用融合了大数据技术的新一代技术架构,基于分布式节点计算机制,使用具有自主知识产权的非关系型数据库CupidDB,具有分布式、全文索引、扩展、实时格式化数据搜索和原始数据关键字搜索、高可靠性等特点,帮助用户进行基于日志的综合审计和日志全生命周期管理,从而最大化的保障网络、主机和应用系统安全机制的有效性。

 

功能特点

  • 支持大规模部署和功能扩展:支持分布式采集和分布式存储,支持大数据量日志审计,还能与TSOC安全管理平台融合。
  • 丰富灵活的报表报告:内置丰富的报表模板,包括统计报表、明细报表、趋势报表和综合审计报告,支持自定义。 
  • 可视化日志审计:提供丰富的可视化视图,包括资产拓扑图、IP地图定位、多维分析图、视网膜分析图等。
  • 详尽的日志范式化和日志分类:支持将各种不同表达方式的日志转换成统一的描述形式,并进行日志分类。 
  • 威胁情报采集与利用:支持导入或者主动抓取的方式获取内外部相关威胁情报信息,并将其应用于关联分析。 
  • 混合式检索技术:支持对范化后的字段值进行全部日志记录的搜索,同时支持全文检索技术。 
  • 灵活强大的交互式分析:交互式查询技术可以通过自定义的仪表盘同存储的所有日志进行交互查询。 
  • 融合大数据技术:采用领先的高性能日志采集技术、分布式存储与索引、流式集中事件及情境关联分析技术。 
 

技术优势

  • 扩展性

    日志审计系统采用组件化技术框架,便于功能扩展。


  • 安全性

    具备完善的自身安全性设计,保证系统自身的安全等级符合用户要求;


  • 影响性

    采取多种技术手段,力求对用户网络和业务的影响最小化。


  • 大规模部署

    支持分布式日志采集和事件存储、审计中心级联,支持大规模部署。


  • 范式化技术

    自学习的事件范式化技术,提高日志分析效率。


  • 数据源扩展

    独有的审计数据源扩展机制,方便实现新设备类型的日志采集。


  • 融合大数据技术

    在日志采集、分析和存储三个方面获得本质的性能提升。


  • 操作简单

    操作简洁、界面美观大方、内置丰富仪表板,适用于各级管理人员。


 

产品特性与功能


日志审计系统(型号:TSOC-SA2100)


产品外观:


 


产品简参及性能:



要求

技术规格

产品规格

标准2U机架式,采用工业级专用硬件设备不能是通用的服务器,双电源,采用专用安全操作系统;610/100/1000Base-TX接口;支持Console口管理;有效存储容量2TB。授权点数最大800个资产。

日志采集

支持SNMP TrapSyslogODBC\JDBC、文件\文件夹、WMIFTPSFTPNetBIOSOPSEC等多种方式完成日志收集功能。

支持新增Lotus Domino的日志采集任务;新增CheckPoint的日志采集任务;

日志审计中心可以集中对独立安装的日志采集器进行统一管理,能够对日志的解析策略进行统一下发;

部署要求

支持单级部署和级联部署,支持分布式部署

资产管理

资产模块支持对资产的pingtelnet和远程访问等功能;

系统提供基于资产的拓扑视图,可以按列表和拓扑两种模式显示资产拓扑节点;可查看每个资产设备本身产生的事件信息、关联告警信息,并且支持向下钻取,直接进入事件列表、关联告警列表;

能够根据收到事件的设备地址自动识别新的资产并自动添加到资产库中

工作台

系统必须内置基本的仪表板。用户可以在工作台中自定义仪表板,按需设计仪表板显示的内容和布局,可以为用户建立不同维度的仪表板

仪表板中的每个显示区域都能够放大、缩小、拖动

日志管理

对不支持的事件类型提供可扩展功能;支持长安全事件格式;对日志设备类型、日志类型、日志级别等可进行重定义;

日志可加密压缩传输 支持加密压缩方式转发,定时转发;

支持对日志的过滤和合并;合并支持设定合并的时间范围;

支持日志源管理功能,对断点日志源可以设置产生告警,单个日志源设备查看该设备最近7天的事件趋势

并提供基于日志查询任务模式的日志导出功能。

日志范式化

范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等;针对不支持的事件类型做范式化不需改动编码,通过修改配置文件即可完成

产品界面支持范式化文件的导入导出功能

日志分析

系统需内置不同分析场景,包括各种实时分析场景、历史统计场景、实时统计等。并支持支持自定义场景。

可以手工对选中的日志进行一键告警或者加入观察列表中

自定义事件查询策略,基于事件分类的查询条件不少于10大项50小项

可以对选中的日志提供在线/离线地图定位、源IP与目的IP分布走向的视网膜图展示、描述日志之间行为相关关系的事件拓扑图等多种分析工具

统计分析模式下支持柱状图、饼图等形式的统计信息可视化展示;根据统计结果可直接钻取符合条件的日志。

关联分析

提供实时和历史2种关联分析功能

提供基于图形化方式的规则编辑器;规则可导入导出

所有事件字段都可参与关联,规则可实时启用和停用

在编辑规则条件的时候,可以针对事件属性引用规则、应用资产属性、引用资源

可实现统计计数关联,能够设定一段时间内的事件发生次数的阈值,还能指定重复事件的属性特征进行事件合并

资源自定义

可以将日志中的IP地址、端口、时间等信息进行资源自定义,为规则所引用

告警响应

告警动作支持告警重定义、弹出提示框、发出警示音、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog等方式、加入观察列表、从观察列表中删除;

具备告警抑制功能,可以把同一时间内相同的告警合并成一条事件进行展示。告警抑制规则中的时间范围与合并数目可以手动进行配置;告警抑制规则可实时启用和停用。

综合显示

能够显示告警状态雷达图,日志趋势曲线图;最近事件览图;最近一段时间不同日志分类的日志数量,不同等级的日志的数量,事件EPS曲线。

报表管理

内置报表模板,可预览、导出;系统内置报表编辑器,可以自定义报表。

支持报表调度,即报表可设置首次生成时间和间隔生成时间,生成后可指定直接发送到接收人邮箱。

知识库

内置Cisco PIX和交换机的事件编码知识库;内置WindowsLinuxSolarisAIX操作系统的事件ID知识库;内置OracleSQL ServerMySQLInformixDB2数据库的事件编码知识库;能够查看系统内置的事件库中事件类型名称及其描述信息。

系统管理

用户登陆界面具备登陆验证码功能。

用户可以对界面整体背景颜色进行选择调整。

可对系统自身的CPU、内存、数据库空间大小等进行监控;可以对自身运行的CPU、内存和磁盘空间等的使用率设置告警阈值;

支持系统时间同步,能够指定时钟服务器,确保审计系统与用户网络环境的时间保持同步。


 

典型应用


单级部署


采集器分布式部署

 

审计中心集群部署

 


混合分部式部署


级联部署


用户价值

• 处理日志大数据的利器
借助系统的大数据技术架构,让客户实现对分散的具有大数据特征的日志的收集,对这些日志格式进行规范化统一描述,实现对日志大数据的分布式集群化存储,实现在日志大数据下对历史数据的分析和检测;在分布式存储计算节点的架构下大大提高安全分析人员对日志大数据的历史数据的分析效率,减少计算资源耗费;并在系统独有的交互式分析设计架构下实现了对日志大数据的事件调查,历史回溯,条件组合查询,结果查看等功能。有效地解决了大数据时代中日志大数据带来的挑战。

• 全生命周期日志管理
借助本系统,客户能够实现从日志产生、采集、综合分析与审计、到日志存储、备份整个日志生命周期管理。通过集中化的日志管理系统,协助客户解决网络中日志分散、种类繁多、数量巨大的问题,提升安全运营效率。

• 日常安全运维工作的有力工具
对于日常安全运维而言,核心的工作内容就是对IT网络进行持续监测,确保网络、主机、应用、重要信息和人员资产的安全。更具体地说,就是要持续监测并识别针对网络、主机、应用、重要信息和人员资产性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。

借助本系统,客户能够统一收集来自网络中IT资产的日志信息,通过分析日志中的安全事件,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告,成为客户日常安全运维的有力工具。

• 遵照等级保护的审计要求
系统在设计之初就充分考虑的国家制定的信息系统等级保护制度中对于安全审计的技术要求。系统能够帮助客户更好地遵从等级保护的审计要求。

以GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》中对三级信息系统的安全审计要求为例,系统能够对基本要求中规定的网络及安全设备、主机、数据库和应用的日志进行统一的采集和存储,协助客户对审计记录数据进行统计、查询、分析,并生成审计报表。对于采集的所有日志记录信息,都记录了日期、时间、类型、主体标识、客体标识和结果等信息,同时原封不动地保存了原始日志信息。对于存储的审计记录,系统进行了完善的安全保护,避免遭受未预期的删除、修改或覆盖。

• 契合合规与内控的审计要求
随着客户业务系统对网络依赖程度的日益加深,以及层出不穷的安全威胁,各行各业对网络安全的重视程度也日渐加强。针对上市公司、大中型企业(尤其是央企)、银行、证券、保险,国家和各行业主管部门都出具了大量的内控、合规管理标准、规范、规定,都对IT信息系统的安全审计提出了要求。

针对中大型网络中IT资产多、日志量大的特点,系统支持级联和分布式部署的方式,配合系统高性能的日志采集技术,能够实现日志的集中化存储与审计,降低客户满足合规性要求的总体成本。

系统具有海量日志存储能力,能够存储长时间的日志信息,满足合规的相关要求。

实时合规管理的企业和组织往往都对其业务系统连续性有很高的要求,系统在运行的过程中采取了多种技术手段,确保对客户现有业务系统及其网络的影响程度降到最低,使得客户在实现合规的同时,维持业务系统的现有服务水平。

 

服务热线

400-624-3900 800-810-6038

客服电话:400-624-3900

周一至周五 9:00-17:30