日志综合审计系统Part2应用背景日志管理现状日志种类多•网络设备:路由/交换/防火墙;•主机系统:Unix/Linux/Windows;•应用系统:OA/CRM/ERP/Web;•数据库:Oracle/Mssql/Sybase;日志数量大•单台防火墙的日志达百万/天;•管理的日志源头至少成百上千;日志格式乱•任意两种日志的格式都不一致;•日志数据没有统一的格式标准;日志分布广•任意系统/设备中都存在日志;•任何网络行为都要留存日志;种类多数量大格式乱分布广编号条款网络安全7.1.2.3:第三级基本要求/技术要求/网络安全/安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应能够根据记录数据进行分析,并生成审计报表;d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。主机安全7.1.3.3:第三级基本要求/技术要求/主机安全/安全审计a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d)应能够根据记录数据进行分析,并生成审计报表;e)应保护审计进程,避免受到未预期的中断;f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。应用安全7.1.4.3:第三级基本要求/技术要求/应用安全/安全审计a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。安全管理制度7.2.5.6/7.2.5.7/7.2.5.12:第三级基本要求/管理要求/系统运维管理/系统安全管理a)对系统进行维护时,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;b)应定期对运行日志和审计数据进行分析,以便及时发现异常行为;c)建立网络安全管理制度,根据需要对网络日志保存时间作出规定;d)指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;e)应在安全审计报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有日志记录均应安全保存;国家等保合规性要求Part3产品介绍日志采集支持所有日志类型采集,Windows、Linux、交换机、数据库及应用日志等。日志检索通过日志中的关键字段快速检索定位审计报表根据用户情况周期生成报表,分析运行状态及安全事件实时分析根据策略实时分析告警,实时告知用户服务器运行状态。安全存储日志统一集中安全存储,防止日志被删与丢失关联分析连续多次密码错误即判断为暴力破解,通知管理员日志审计功能部署方式Part4功能介绍产品架构管理接口综合分析中心采集中心告警备份报表存储中心实时分析引擎采集方式01Syslog系统日志02网络流量日志通过交换机网络镜像方式采集Oracle、Mssql、Mysql、DB2、Sybase各大类数据库http、telnet、ftp、smtp、p2p等明文数据03应用系统日志通过FTP方式定时采集Web应用服务器、中间件系统、OA办公系统、CRM管理系统、行业专用业务系统等通过Syslog协议方式采集Windowsserver2000-2012各系统版本RedHat、Debian、HP-UX、Solaris、FreeBSD、SCOUNIX等Cisco、HUAWEI、H3C、Juniper、F5、Radware等网络安全设备明细型、统计型报告满足合规性审计要求审计报表Part5产品优势产品优势自研海量日志存储系统,千万级别日志量5秒内查询完成全面的日志采集采集能力,能够采集所有日志类型内置大量专家级日志规则,日志规则支持自定义配置嵌入式Linux系统,安全性保障,保护数据安全良好的扩展性,支持分布式部署,多点采集Part6应用收益集中统一管理无需登录每个系统即可统一查询管理所有日志实时动态分析根据日志等级与信息内容自定义规...
