日志审计
产品需求
日志,是信息系统运行过程中所有事件的详细记录。日志,也是系统管理人员了解系统运行状况、安全状况和安全问题追溯的重要依据。通过对日志的深入分析,信息系统管理人员可以检验信息系统安全机制的有效性,甚至做到安全态势的分析和安全问题的预警。此外,等级保护、分级保护及各行业的信息安全管理标准等规范的实施,各企事业单位均迫切需要建设落实自己的IT设备与系统的日志审计平台,以应对日益严峻的合规审计要求以及业务连续性需求。
安全需求
信息系统日志信息的收集和分析已经成为系统建设中必不可少的部分,但是传统方式的日志收集和分析给系统管理人员带来异常艰巨的工作量和技术难度:
日志源分散:包括云服务器、安全产品、应用系统、数据库等各虚拟网络节点和应用节点均作为网络中的日志源产生日志,并为系统管理人员提供日志查看窗口,如果系统管理人员逐一查看和分析,将会为系统管理人员带来不可估量的工作压力。此外,各日志源产生的日志均独立存在于各自的存储空间,成为日志孤岛,系统管理人员无法关联日志进而深入了解网络安全态势。
日志量巨大:如安全设备、网络设备每天甚至可以产生10GB以上的海量日志,系统管理人员查看数以万计的日志并从中获取有价值的信息,基本是不可能完成的任务。
日志格式不统一:不同种类的产品、不同厂家的产品日志格式均存在差异,如果系统管理人员查看所有节点的日志信息,需要掌握系统中各个日志源的日志格式,也会为系统管理人员带来不小的工作压力。
为了应对以上挑战,系统管理人员需要一套日志审计为日志的分析工作提供技术支撑,实现分散的海量日志信息收集、日志格式统一化规整、日志关联深度分析、安全问题展示报警。
政策需求
2017年6月1日起施行的《中华人民共和国网络安全法》,第三章第二十一节的第三条规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》对于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。而日志审计是符合这些要求的基本手段。
《互联网安全保护技术措施规定》(公安部82号令)第八条要求具备"记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件等安全审计功能"。
《网络安全等级保护基本要求》2019年5月10日正式颁布,其"安全管理中心"部分的"集中管控"要求:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
产品介绍
日志审计系统通过标准syslog协议,实时不间断地采集各个虚拟网络节点、应用系统和数据库系统的海量日志,收集到日志审计中心并进行格式统一化处理后进行存储、关联分析、展示、报警,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
产品规格:
| 名称 | 规格 | 单位 | 描述 |
|---|---|---|---|
| 日志审计 | 基础版 | 套 | 产品规格:产品为虚拟化实例形态,计算资源≥4C8G,存储空间≥500G,支持日志源数量:20;提供对操作系统、中间件、数据库、网络设备、安全设备等资产的日志收集、关联分析、日志存储和综合展示。 |
| 日志审计 | 标准版 | 套 | 产品规格:产品为虚拟化实例形态,计算资源≥4C16G,存储空间≥500G,支持日志源数量:50;提供对操作系统、中间件、数据库、网络设备、安全设备等资产的日志收集、关联分析、日志存储和综合展示。 |
| 日志审计 | 高级版 | 套 | 产品规格:产品为虚拟化实例形态,计算资源≥8C16G,存储空间≥1T,支持日志源数量:100;提供对操作系统、中间件、数据库、网络设备、安全设备等资产的日志收集、关联分析、日志存储和综合展示。 |
| 日志审计 | 增强版 | 套 | 产品规格:产品为虚拟化实例形态,计算资源≥8C32G,存储空间≥1T,支持日志源数量:200;提供对操作系统、中间件、数据库、网络设备、安全设备等资产的日志收集、关联分析、日志存储和综合展示。 |
功能详解
日志采集
全面支持Syslog、SNMP日志协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合。
日志格式统一化处理
日志审计系统支持针对不同格式的日志信息解析提取关键信息完成日志信息的过滤、日志合并和日志格式的统一化规整,规整后的日志字段包括日志接收时间 、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级等等,使规整后的日志简单易懂便于分析,统一化处理的日志格式可通过导入解析文件的方式灵活扩展。
日志分析
系统提供基于规则的日志信息关联分析技术对海量日志数据进行多维度关联分析,第一时间发现网络中发生或隐藏的各类安全事件、安全威胁。
系统内置大量的日志分析规则,并提供可视化的规则自定义配置界面,方便管理员快捷的制定针对安全事件关联分析的过滤规则、关联分析规则以及相对应安全事件的告警方式等。
告警展示
日志审计提供安全告警能力,多维度图形化展示告警信息概况,以时间为轴线展示告警发展趋势以及列表展示告警详情。帮助管理员直观掌握网络环境安全现状,并对未来网络安全形势进行相应评估。告警信息实时刷新,管理员可通过多维度多条件的查询告警信息,准确定位实时安全事件来源。
日志检索
支持通过任意字段从数以百亿级的日志信息中检索所需要的日志内容,并提供丰富的日志检索模板,让日志查询简单、易用。此外支持查询结果下钻上卷,支持原始日志与归一化日志同屏显示。支持查询结果显示界面快捷统计。
数据存储
可根据制定的存储策略存储指定时间内的或一定空间容量的日志信息,可通过制定日志备份策略和日志空间告警阈值保障日志信息的可用性。
产品部署
通过Region Boss下单后自动为租户创建云堡垒机服务实例,通过标准syslog实现日志收集,其中linux系统、网络产品、安全产品可通过设置syslog日志服务器地址发送日志,windows操作系统需安装agent进行日志采集。
