日志審計系統
概述
隨著信息化進程的深入和互聯網的迅速發展,人們的工作、學習和生活方式正在發生巨大變化,效率大為提高,信息資源得到最大程度的共享。緊隨信息化發展而來的網絡安全問題日漸凸出,如果不能很好地解決這個問題,必將阻礙信息化發展的進程。由此可見,信息安全在社會生活的各個方面已受到更為廣泛的關注,其重要性也日益明顯。
隨著互聯網和云計算的發展,公有云服務器是人們越來越容易接受的產品,其最普遍受益的一點就是節省成本。企業不必像擁有私有云那樣去購買,安裝,操作或運維服務器或是其他設備。在一個公有云的服務供應商提供的平臺上,企業只需使用或開發他們自己的應用程序即可。但公有云的安全問題也是顯而易見的,基于Internet的公有云服務的特性,全世界只要能上網的人就可以訪問到其云服務器,其在云主機及其云上的數據受到威脅會更多而且更復雜,數據相對于私有云處于一個不穩定的狀態。
不管是傳統的信息化還是未來趨勢的云計算,都面臨著安全的風險,從安全防護的角度來說,需要一個循序漸進的方式去完善安全體系。一般建設的順序是網絡安全、主機安全、數據安全的順序逐步完善。對于傳統信息化,要優先處理網絡安全,但對于云服務器來說,網絡安全是提供云服務的廠家要重點考慮的事情,反而主機安全是要優先考慮的內容了。本產品就是通過對日志的分析來解決主機的安全尤其是訪問安全,幫助企業有效的主機的管理和維護。
產品介紹
1、產品簡介
綜合日志審計系統能夠通過主被動結合的手段,實時不間斷地采集用戶網絡中各種不同廠商的安全設備、網絡設備、主機、操作系統、以及各種應用系統產生的海量日志信息,網絡流量的信息,并將這些信息匯集到審計中心,進行集中化存儲、備份、查詢、審計、告警、響應,并出具豐富的報表報告,獲悉全網的整體安全運行態勢,實現全生命周期的審計管理。
1、體系結構
綜合日志審計系統產品主要有三大模塊:日志審計、流量審計。每個模塊由三部分組成,一部分是數據采集,一部分是對采集的數據進行在線格式化分析處理、過濾、規則驗證,同時產生告警;一部分是數據存儲系統,把采集分析的內容和規則生成的告警信息存入數據存儲系統;最后部分是web服務器,管理員可以通過http方式對日志信息告警等進行查看、管理。
l??采集器
采集器主要是對日志、網絡流量進行采集,然后對采集的數據進行在線格式化分析處理,把數據分解成不同的維度,然后對格式化后的數據進行告警分析,產生告警,同時存儲原始數據和格式化后的數據。采集器可以分布式部署,每個采集節點可以采集數據,同時可以存儲數據,這樣就形成了一個采集集群,可以橫向無限擴展,支持海量數據。
l??數據存儲系統
對采集器采集的數據(格式化、原始)、生成的告警進行存儲,同時存儲這些告警所對應的數據源,系統通過集群算法可以關聯到采集集群,同時存儲系統還存儲了賬號,基礎數據等信息。
l??Web服務器
Web服務器主要是給管理員操作的入口,主要包括首頁門戶,審計搜索,告警配置,工單管理,資產管理,系統管理幾部分。
系統架構
采用組件式平臺架構,實現了分層的邏輯架構,包括:審計數據源層、數據采集層、業務層和應用層。如下圖所示:
l??審計數據源層
審計對象層是指審計數據源對象,數據源包括各類型的網絡設備、安全設備、應用系統、主機等能產生相關日志的設備和信息系統;網絡數據流中的原始數據包。日志審計對象須開放接口才可以收集到日志;網絡流量審計數據源包括網絡流量鏡像、數據轉發等,如果審計對象開放的接口是私有協議,系統可以通過定制開發協議的方式進行支持。
l??采集層
在該層日志采集利用Syslog、SnmpTrap、Jdbc、本地文件、Sftp/Ftp遠程采集文件、Sniffer、Agent方式進行采集,從審計對象獲取日志,并對原始日志信息進行范式化、分類、過濾、歸并,統一推送到業務層進行分析、存儲;網絡流量采集利用ntopng抓包網絡鏡像流量方式進行采集,并對原始數據包進行解析、分類、過濾、歸并統一推送到業務層進行存儲。
l??業務層
業務層有日志審計、網絡流量審計,目前日志審計是具備最完善、業務場景最多的模塊,日志審計利用關聯分析引擎對采集的日志進行分析,觸發規則,生成告警記錄;通過高性能海量數據存儲代理將日志進行快速存儲;通過分布式查詢引擎實現日志查詢;通過日志聚合引擎實現日志抽取。
l??應用層
面向系統的使用者,提供一個圖形化的顯示界面,展現安全審計系統的各功能模塊,提供綜合展示、日志審計、告警規則、工單管理、報表組件、資產管理、系統設置等功能。
產品功能
1、綜合展示
用戶登錄即可進入綜合展示儀表盤(首頁)。通過盤,能夠快速的導航到各個功能。用戶能夠通過儀表盤從不同的方面對日志進行審計,可以在一個屏幕中看到不同設備類型、不同安全區域的實時日志流曲線、統計圖,以及網絡整體運行態勢、待處理告警信息等。用戶可以自定義儀表盤,按需設計儀表板顯示的內容和布局,可以為不同角色的用戶建立不同維度的儀表板。
2、 日志審計
系統提供日志審計(搜索)功能,可以對解析、過濾后的日志審計數據進行搜索查看。并支持保存搜索、自定義時間以及表格導出。
3、 網絡流量審計
系統提供網絡流量審計功能,對原始數據流中的數據包解析、過濾、統一存儲。并將解析后的五元組數據以報表形式展示。
4、告警規則
系統具備日志關聯分析功能。通過關聯分析規則,系統能夠對符合關聯規則條件的日志產生告警。系統提供了可視化的規則編輯器,用戶可以定義基于邏輯表達式的關聯規則,所有日志字段都可參與關聯。規則支持統計計數功能,可以對達到一定統計數量的日志進行告警。
5、工單管理
系統攜帶工單管理模塊,批量分配用戶告警信息的處理、歸類等。
6、報表組件
系統內置了豐富的報表模板,包括統計報表、明細報表、綜合審計報告,審計人員可以根據需要生成不同的報表。系統內置報表生成調度器,可以定時自動生成日報、周報、月報、季報、年報,并支持以郵件等方式自動投遞,支持以PDF、Excel、Word等格式導出,支持打印。系統還內置了一套報表編輯器,用戶可以自行設計報表,包括報表的頁面版式、統計內容、顯示風格等。
7、資產管理
系統提供資產管理功能,可以對網絡中的審計數據源資產進行管理。除基本資產信息外,系統提供靈活的資產分類功能,實現對資產的分類管理。系統提供基于拓撲的資產視圖,可以按圖形化拓撲模式顯示資產,并可編輯資產之間的網絡連接關系,通過資產視圖可直接查看該資產的日志及告警信息。系統能夠根據收到的日志的設備地址自動發現新的資產。
8、搜索查詢
系統提供日志的查詢功能,便于從海量數據中獲取有用的日志信息。用戶可自定義查詢策略,基于日志時間、名稱、地址、端口、類型等各種條件進行組合查詢,并可導出查詢結果。系統還提供快速查詢和模糊查詢功能。用戶在檢索歷史日志記錄時,系統可以通過多條件相結合的方式進行日志查詢,根據日志的類型、發生時間、不同字段內容等進行精細匹配,如:日志源IP、日志發生時間、登錄賬號、信息字段內容等,從而實現日志的快速準確定位。
9、參考知識管理
系統內置日志字典表,記錄了主流設備和系統的日志ID的原始含義和描述信息,方便審計人員在進行日志審計的時候進行參考。
10、用戶管理
系統提供三權分立設計,內置系統管理員、用戶管理員和審計管理員。
系統提供用戶集中管理的功能,對用戶可以訪問的資源進行細致的權限劃分,具備安全可靠的分級及分類用戶管理功能,支持用戶的身份認證、授權、用戶口令修改等功能。不同的操作員具有功能操作權限。
11、系統管理
系統具有豐富的自身配置管理功能,包括自身安全配置、系統運行參數配置、審計資源配置等。系統具有系統自身運行監控與告警、系統日志記錄等功能。
界面展示
首頁
網絡流量審計
日志查看:
告警查看:
工單管理
報表組件
資產
產品特點
綜合日志審計系統不需要在機器上安裝軟件,只要支持標準syslog、snmp、sftp/ftp、jdbc等標準協議即可采集分析日志,不改變過客戶的原有方式,部署便捷,不會破壞本身的網絡結構,不會影響到原主機性能。采集器支持橫向擴展集群功能,在不改變現有環境的情況下,非常方便的增加采集節點,并整合到系統中進行協同工作,通過這種橫向集群方式可以支持海量日志的收集,存儲,分析展示的能力。
綜合志審計系統具有強大的日志分析、網絡流量分析能力,可以支持單條日志的分析,多條日志的組合分析,定時場景的分析,先后條件滿足的分析。通過這些分析能力,能滿足絕大多數用戶分析場景的需求。
綜合日志審計系統整合了全文搜索Elasticsearch,我們對Elasticsearch進行了優化,并有源碼級的支持能力。Elasticsearch是一個靈活、功能強大的開源、分布式、實時搜索和分析引擎。從設計之初就考慮了分布式環境,所以它具有天然的可靠性和可擴展性,Elasticsearch使您能夠輕松地的使用全文檢索的功能。通過其強大的、健壯的RESTfulAPI和查詢DSL,支持多種客戶端,如Java、Python、Clojure等。
部署方式
產品部署分4部分內容,數據源部分,采集器采集部分,數據庫部分和web服務器部分,第一部分是數據源,支持syslog、snmp、jdbc、sftp/ftp等協議,其余三部分是本產品的主要部分,這四部分內容可以根據規模大小部署在一臺機器或者多臺機器上面。
數據庫 數據庫安全服務 DBSS
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章
