產品概述:
?
云涌日志審計分析平臺,具有日志采集、審計分析、事件查詢、報表生成、設備監控、日志數據備份六項主要安全功能,是一款智能的全網日志采集、分析、審計與安全威脅監測產品。
云涌日志審計分析平臺以大數據、機器學習技術為核心,快速全面的收集各類主機、數據庫、安全設備、中間件以及業務系統等的日志信息,并進行日志全量存儲、高級分析,及時有效的發現異常行為和安全事件,滿足用戶高效運維、安全分析及合規審計的需求。采集方式支持Syslog、數據庫等。
?
產品架構包括:數據源、采集層、計算層、業務層、展示層。
¨???? 數據源 ?
數據源是指采集的日志對象,包括各類型的網絡設備、安全設備、數據庫、服務器、應用系統、中間件等能產生相關日志的設備和信息系統。
¨? ? 采集層
日志采集層利用Syslog、SNMP trap、WMI、FTP 、agent或流量鏡像等方式進行日志采集,從數據源獲取日志數據,并根據規則進行過濾、歸并,同時把采集過來的非結構化的數據轉換成結構化的數據。同時基于行為、狀態等進行機器學習,提供給計算層分析。
¨? ? 計算層
當業務層需要使用到采集到的數據時,由計算層對采集到的數據進行提取、分析、統計。如產生安全事件告警時,由計算層提取數據,匹配業務層配置的安全策略進行分析,當判斷有高危事件時,匹配業務層配置的告警訂閱進行對應處理觸發相應告警動作。
¨? ? 業務層
包括資產管理、日志源管理、日志檢索、安全策略、統計報表等一系列用戶實際使用業務,用戶通過不同業務功能對系統進行不同的管理操作。
¨? ? 展示層
包括首頁綜合展示、檢索查詢結果、報表、統計圖表等最終展示效果。
系統架構如下圖所示:
產品特點:
?
安全合規
國家主管部門越來越重視網絡安全建設,陸續出臺了《中華人民共和國網絡安全法》、等級保護、分級保護等法律法規。各行業隨著網絡應用比重加大,制定了行業標準和規范。系統優先保障存儲網絡日志6個月滿足各項要求,同時內置基于等保合規性要求的分析及報表,可以提供用戶開展合規性建設工作的技術支撐。用戶通過豐富的合規分析對全網的安全事件進行全方位、多視角、細粒度的監測、查詢、統計、分析,動態掌握網絡的合規情況。通過系統對海量日志的采集、存儲、分析能力,完全滿足合規性要求。
提升全網安全性
云涌日志審計分析平臺能夠實現全維度、跨設備、細粒度關聯分析,內置眾多的關聯規則,支持網絡安全攻防檢測、合規性檢測、脆弱性監視,客戶可輕松實現各資產間的關聯分析,根據已知的情景作出預防響應,防患于未然。
提高IT運維效率
云涌日志審計分析平臺實時采集并監控分析主機、數據庫等日志及指標數據,洞察 IT 基礎架構和業務服務運行狀況;基于機器學習的智能化運維管理,快速定位系統故障,增強故障分析及處置能力,提高自動化運維管理效率。
產品功能列表:
?
|
功能模塊 |
功能描述 |
|
審計儀表盤 |
¨??? 支持自定義儀表盤,可在一個儀表盤中選擇多個對應的微件,可涵蓋日志中的所有字段,儀表盤具有全屏監控功能 ¨???? 儀表盤中可直接導入事件統計中的各類圖表 ¨???? 支持實時監控,支持配置實時監控策略 ¨???? 支持創建多個儀表盤 |
|
資產管理 |
¨??? 支持資產主動發現。通過對網絡進行資產掃描,可將發現的IP對象轉資產或刪除 ¨??? 支持資產被動發現。可將網絡劃分成多個安全域,系統能自動發現安全域中的IP對象,并可以轉資產或刪除 ¨??? 支持添加、修改、刪除資產;支持對資產的基本屬性進行維護,并可以增加自定義屬性 ¨??? 支持拓撲自動發現,可手動添加拓撲,并能夠展示整體安全、事件分布、告警分布等 ¨??? 支持資產自定義分級分組、標簽 ¨??? 支持在一個資產下添加多個日志源(日志采集的對象) ¨??? 支持資產性能監控,如監控CPU、內存、磁盤使用率等資產指標 ¨??? 支持資產地圖,可查看資產整體安全狀態、性能指標信息以及關聯日志源的日志信息 |
|
日志采集 |
¨??? 支持采集的對象包括安全設備、網絡設備、操作系統、數據庫、中間件、應用系統、虛擬機等 ¨??? 支持主動、被動相結合的數據采集方式,支持通過Agent采集日志數據,支持通過Syslog、SNMP Trap、HTTP、TCP、telnet、JDBC、WMI、文件、Kafka等方式采集日志 ¨??? 支持日志標準化解析(范式化、歸一化),將不同格式日志解析為多個字段,自動識別系統類型至少達到200種 ¨??? 支持日志自定義解析,系統自帶圖形化工具,可通過GROK、分隔符、JSON、XML、時間等自定義解析規則 ¨??? 支持解析規則的批量導入/導出 ¨??? 支持日志源的自動發現,根據接收到的日志自動識別并創建日志源 ¨??? 支持日志源的自定義分級分組 ¨??? 支持不同設備相同IP的日志識別 ¨??? 支持自定義日志過濾策略,支持全局過濾、局部過濾,可選擇對單個或多個日志源進行日志過濾 ¨??? 日志過濾支持字段過濾與指定時段過濾 ¨??? 支持對單個/多個日志源批量轉發,支持定時轉發,可通過Syslog、TCP和Kafka方式轉發到第三方平臺,并且支持轉發原始日志和已解析日志 |
|
日志分析 |
¨??? 系統內置審計策略,內置審計策略至少600條 ¨??? 支持自定義審計策略 ¨??? 支持從審計策略模板直接創建策略,并可通過事件的任意字段制定規則創建策略 ¨??? 審計策略可以定義審計事件的名稱、分類、級別以及命中后是否繼續匹配其余審計策略 ¨??? 提供預置審計策略模板,包括:Windows主機類審計策略模板、Linux/Unix主機類審計策略模板、防火墻類審計策略模板、掃描器類審計策略模板、IDS/IPS類審計策略模板、防病毒類審計策略模板、數據庫系統類審計策略模板、薩班斯審計策略模版、等級保護審計模板等 ¨??? 內置網站攻擊、主機異常、賬號異常、暴力破解、漏洞利用、權限異常等至少10種安全分析場景,內置關聯規則至少400條 ¨??? 支持關聯規則自定義設置功能,支持類型包括過濾規則、統計規則、序列規則、模式規則、多源日志關聯和機器學習 ¨??? 支持跨設備的多事件關聯分析,若日志滿足系統內置或用戶定義的關聯規則,將產生關聯事件 ¨??? 關聯事件管理可以統一監控事件的命中情況,包括來源的設備、事件類型、最近命中時間以及命中總次數等 ¨??? 支持接收來自下級日志采集器轉發的日志、安全事件和告警事件進行二次分析、關聯 ¨??? 支持自定義數據字典,系統可從各類日志、事件中抽取相關片段準確和完整地映射至安全事件的標準字段,內置映射字段至少達到1000個 ¨??? 支持活動列表,可動態維持數據之間的關系映射,如賬號與審計人員、IP與審計人員、是否是上班時間等 ¨??? 支持地理信息映射,根據其所選IP字段,映射到國家、省份、城市、安全域等 |
|
流量審計 |
¨??? 支持對鏡像流量的審計,審計內容包括mysql、pgsql、mongodb、redis、人大金倉、http等數據庫和流量審計 |
|
日志檢索 |
¨??? 支持對解析后日志、安全事件、告警事件、原始日志等的查詢 ¨??? 支持日志查詢普通模式,可通過關鍵字等方式查詢 ¨??? 支持日志查詢高級模式,可通過多關鍵字、模糊、正則表達式等方式組合查詢 ¨??? 支持將查詢結果進行保存、導出 ¨??? 支持查詢條件保存為查詢模版,用于后續快捷調用 |
|
統計報表 |
¨??? 支持生成綜合報表、數據報表和統計報表 ¨??? 支持導出PDF、WORD、EXCEL、CSV報告 ¨??? 內置事件統計策略和圖表,支持自定義事件統計策略和圖表 |
|
告警管理 |
¨??? 系統內置豐富審計類和關聯類告警策略,并靈活支持自定義策略 ¨??? 對于告警的處理主要包括忽略、處理 ¨??? 具備告警合并和在一個時間段內抑制報警次數的能力 ¨??? 可指定告警接收人員 ¨??? 告警方式包括短信、郵件、釘釘等 |
|
知識庫 |
¨??? 內置知識文章、事故案例、安全級別要求、典型日志事件介紹、日志審計配置指導等。并支持自定義創建增加知識庫內容 |
|
系統管理 |
¨??? 支持系統參數配置,包括自定義磁盤、CPU、內存等百分比告警閾值 ¨??? 支持系統基本配置,包括修改主機名稱、網絡接口IP、路由等,內置抓包、PING、端口測試等工具 ¨??? 支持設置日志存儲備份策略,包括系統日志保存期(容量/天)、磁盤使用率百分比等 ¨??? 支持日志文件遠程備份到外置存儲節點,支持FTP、NFS、ISCSI、SMB等存儲方式 ¨??? 支持數據容錯,支持將錯誤日志重新入庫 ¨??? 日志接收隊列大小可配置,可存儲因超過最大接收性能而未入庫的日志 ¨??? 支持集群管理,支持審計中心、日志采集器的策略配置及下發 ¨??? 支持個性化管理,用戶可自定義新的平臺名稱、導航欄名稱、LOGO標識等 |
|
用戶管理 |
¨??? 用戶支持三權分立設計模型 ,支持自定義權限角色 ¨??? 支持連續登錄失敗鎖定用戶,支持自定義失敗次數、鎖定時間、用戶登錄后超時時間 ¨??? 支持管理員訪問控制,可設置指定IP、網段允許或拒絕管理員登錄 ¨??? 支持自定義密碼強度設置,可自定義用戶密碼強度要求,密碼復雜度、長度 ¨??? 支持多因子認證,認證方式可為郵件、短信 |
|
部署要求 |
¨??? 支持集中和分布式部署、集群部署、熱擴容 ¨??? 系統全面支持IPV4/IPV6 ¨??? 采用B/S架構操作方式,無需安裝客戶端軟件 ¨??? 采用旁路接入模式,設備部署不影響原有網絡結構 |
