華康日志審計分析系統是新一代綜合安全事件分析與全局的日志審計系統疗我。該系統采用先進(jìn)的大數據采集、建模毁横、分析技術(shù),通過(guò)對各種網(wǎng)絡(luò )資源的多維度信息采集和自動(dòng)化的關(guān)聯(lián)分析,及時(shí)發(fā)現網(wǎng)絡(luò )當中的威脅和異常行為,通過(guò)與防火墻、入侵防御福忍、終端安全等產(chǎn)品的安全聯(lián)動(dòng),實(shí)現對威脅和異常行為的有效處置。系統通過(guò)圖形化、可視化技術(shù)將識別到的各種威脅和異常通過(guò)圖形化方式直觀(guān)的展現給用戶(hù),有利于用戶(hù)全面掌握網(wǎng)絡(luò )總體安全態(tài)勢,并迅速做出判斷和決策膳呻。
華康日志審計分析系統的核心能力就是對審計數據源的日志采集。對于審計人員而言,采集日志面臨的挑戰是:審計數據源分散华坦、日志類(lèi)型多樣床株、日志量大漠毅。為此秃洪,華康日志審計分析系統采用多種技術(shù)手段,充分適應用戶(hù)實(shí)際網(wǎng)絡(luò )環(huán)境的運行情況综促,采集用戶(hù)網(wǎng)絡(luò )中分散在各個(gè)位置的各種廠(chǎng)商、各種類(lèi)型的海量日志胧纹。同時(shí),通過(guò)針對鏈路和資產(chǎn)(網(wǎng)絡(luò )設備痢缎、安全設備贸辈、主機胆描、應用及數據庫)不間斷的連接檢查和完整性檢查,可確保平臺接收到所有數據,并對傳輸鏈的各個(gè)環(huán)節進(jìn)行監控,消除無(wú)關(guān)數據宰骆,合并重復的資產(chǎn)日志寒蚓,確保資產(chǎn)數據的全面收集。
華康日志審計分析系統對收集的各種日志進(jìn)行范式化處理,將各種不同表達方式的日志轉換成統一的描述形式龙填。審計人員不必再去熟悉不同廠(chǎng)商不同的日志信息适嫂,從而大大提升審計工作效率碉纺。與此同時(shí)寄菲,華康日志審計分析系統將原始日志都原封不動(dòng)的保存了下來(lái)怒盹,以備調查取證之用嫉戚。審計員也可以直接對原始日志進(jìn)行模糊查詢(xún)按蜀。
華康日志審計分析系統能夠實(shí)現全維度、跨設備、細粒度關(guān)聯(lián)分析,內置眾多的關(guān)聯(lián)規則颂梆,支持網(wǎng)絡(luò )安全攻防檢測、合規性檢測,客戶(hù)可輕松實(shí)現各資產(chǎn)間的關(guān)聯(lián)分析口蝠,根據已知的情景作出預防響應持蓄,防患于未然。
華康日志審計分析系統可以對安全域中的所有資產(chǎn)進(jìn)行脆弱性監視,方便用戶(hù)隨時(shí)掌握各資產(chǎn)的脆弱性狀態(tài),通過(guò)實(shí)時(shí)掃描或者第三方導入報告進(jìn)行風(fēng)險三維關(guān)聯(lián)分析。
配置核查目的是保障業(yè)務(wù)系統的安全,為了避免人為疏忽或錯誤桶蝎,或使用默認的安全配置,給業(yè)務(wù)系統安全造成風(fēng)險。采取必要的配置核查措施,使業(yè)務(wù)系統達到相對的安全指標要求伐沧。華康日志審計分析系統可對資產(chǎn)進(jìn)行安全配置核查专材,對不符合安全性配置及時(shí)作出預警和改進(jìn)建議京闰。
華康日志審計分析系統內置知識文章虫犀、安全專(zhuān)家、事故案例、漏洞庫宜显、病毒庫、補丁庫丧叽、安全級別要求、等級保護、應急預案等九大類(lèi)知識類(lèi)別,超過(guò)20000條知識,同時(shí)支持自行導入導出并可不斷更新岛证。
在信息管理層、生產(chǎn)管理層和過(guò)程控制層部署日志審計,通過(guò)收集并分析系統日志等數據八往,從而發(fā)現違反安全策略的行為。安全審計主要側重于事后分析锐借,即當發(fā)生安全事故或者發(fā)生違反安全策略的行為之后,通過(guò)檢查徊件、分析、比較審計系統收集的數據,從中發(fā)現違反安全策略的行為管钳。
主要技術(shù)規格:
采集配置:在接入各類(lèi)日志和事件前,指定需要采集的目標与境、接入方式以及相關(guān)參數(如數據庫的各種連接參數)、選擇標準化的腳本和過(guò)濾及歸并策略睡谒;
標準化:根據指定的標準化腳本杉唇,對相應日志或事件進(jìn)行標準字段的映射;
過(guò)濾和歸并:過(guò)濾和歸并的目的均是為了壓縮整體日志數量,而且利用過(guò)濾策略,用戶(hù)也可以將指定的日志轉發(fā)至需要的地方或對日志信息的相關(guān)屬性進(jìn)行重新賦值;
事件分析和審計管理:事件分析和審計管理是日志審計系統的核心分析部分,它不僅可以綜合考量各種日志之間可能存在的關(guān)系,而且能夠對日志中相關(guān)要素進(jìn)行分析大咱;最終,事件分析和審計管理的結果均以告警的形式出現在系統中;查詢(xún)和檢索:系統提供基礎身冬、高級和基于搜索表達式的方式對原始事件進(jìn)行不同維度的查詢(xún)和檢索;
報表管理:系統提供豐富的報表,以滿(mǎn)足用戶(hù)不同的要求;
資產(chǎn)管理:與普通的日志審計系統不同,日志審計系統提供資產(chǎn)管理模塊,以方便用戶(hù)對被管對象的管理剂桥;
知識庫管理:系統提供日志發(fā)送配置(即如何對各種系統進(jìn)行配置买窟,以便正常采集日志)、安全事件知識、安全經(jīng)驗,對日志審計提供相應的支撐。