產品背景

什么是日志審計

日志審計的作用

需求：事前發現問題，提高響應效率。事后追溯問責，源頭有跡可循。

當前運維環境面對的挑戰

?  當前分析工具已經難以為繼，不堪重負

?  傳統的分析方法，即規則和特征分析，只能對已知的的攻擊行為奏效

?  大量的網絡攻擊，復雜的檢測手段，需要分析的數據越來越多

?  數據量日益增加，結構復雜

?  各類設備日志都是信息孤島，無法對種類繁多的數據進行關聯和整合

散落在各處的數據無法有效應用

?  依賴人員的個人能力和豐富的經驗

?  難以形成經驗庫，無法自動化處理，效率低

?  故障排查需多部門參與，效率低、易出錯

?  故障處理時間長，造成的影響較大

日志審計的必要性：等保2.0要求

日志審計的必要性

網絡安全法自2017年6月1日起施行，第三章網絡運行安全第二十一條要求：

?  國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改

?  采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；

?  網絡運營者不履行本條，將由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款

日志審計的必要性：網絡安全法查處案例

產品介紹

發展歷程

基于網絡資產自身的狀態記錄和行為記錄，實現對資產的實時監測和行為分析，以集中化、可視化、自動化方式進行查看、檢索、分析、告警等

工作原理

多終端接入

報告分析展示

合規分析類報告

?  PCI報告

?  SOX 塞班斯報告

?  IS027001報告

?  等保合規報告

資源事件統計分析類報告

?  網絡設備事件統計報告

?   Web應用事件統計報告

?  安全設備事件統計報告

?  數據庫事件統計報告

?  操作系統事件統計報告

綜合分析類報告

?  網絡DNS域名分布報告

?  全網事件統計報告

?  用戶登錄登出統計報告

?  流量關系分布報告

攻擊統計分析類報告

?  攻擊目的IP分布報告

?  攻擊來源IP分布報告

?  攻擊事件分布報告

?  攻擊事件數量變化報告

?  攻擊威脅級別報告

自定義報告

?  利用內置報告模板生成各類合規報告

?  支持用戶自定義報告模板

?  可根據需求制定計劃任務，按計劃生成各類審計報告

?  計劃報告支持自動郵件發送，定時發送至管理員郵箱

豐富的報告模板

?  利用內置報告模板生成各類合規報告。

?  支持用戶自定義報告模板。

?  可根據需求制定計劃任務，按計劃生成各類審計報告。

?  計劃報告支持自動郵件發送，定時發送至管理員郵箱。

日志事件多維度分析

用戶可以通過豐富的日志分析策略對全網的安全日志進行全方位、多視角、大跨度、細粒度的實時監測、統計分析、查詢、調查、追溯、可視化分析展示等等。

高效的日志檢索能力

機器數據 + 網絡數據 + 秒級全文搜索 = 強大的問題追蹤能力

產品價值

產品優勢

?  分級管理部署靈活

系統引入組織架構分級管理模式，支持分布式、集群部署適用于大型復雜的網絡環境。同時系統支持agent部署方式，無需改變原網絡拓撲。

?  組合查詢精確匹配

持對查詢結果統計、鉆取，可下鉆到以秒為間隔，可針對任意時間節點查看、回退，收斂事件范圍；支持與、或、非多級關聯搜索；支持高亮顯示支持自定義時間范圍搜索；支持自定義關鍵字搜索；支持多條件組合查詢。

?  全面分析風險識別

系統對資產業務操作、運維操作以及應用關聯操作進行全面審計分析，同時通過關聯設置可自動識別操作中的違規行為、攻擊行為，并實時發出告警。

?  性能卓越穩定可靠

日志審計系統入庫和查詢性能優異，億級別日志數據，組合條件查詢速度到達秒級。

對事件的分析和資產的監控

管理人員

?  對組織安全政策的執行情況進行有效的監督與審計

?  為組織制定安全規劃提供數據支撐

安全威脅有效的預警

系統安全

?  對安全威脅進行有效的預警

?  早發現，早處理，早糾正，早反思

可視化日志展示

運維人員

?  全面動態管理信息系統內部的資源

?  方便、快捷、易用

安全分析

不錯過任何信息，全文關聯檢索讓攻擊無處遁形

數據分析

設定數據邊界，追蹤可疑訪問

業務分析

業務故障/性能問題，深入分析原因

客戶案例