现如今,信息时代的大背景下,每一个用户的网络环境都蕴藏着丰富的信息资产。这些资产包括各类网络设备、安全设备、主机、应用及数据库等,每种设备的日志格式都独具特色,记录的事件即使同为一种,也会因设备类型不同而呈现各异。例如,登录失败的描述在防火墙与主机操作系统中就可能大相径庭,这无疑为审计人员带来了巨大的挑战,需熟悉每一种设备类型的日志格式。
随着数据量的激增,如一个入侵检测系统每日可能生成数千万计的事件日志,运维审计工作常常因海量数据而变得头绪纷乱,成为了业务顺畅运行的障碍。为应对这一挑战,新一代综合安全事件分析与全局日志审计系统应运而生。
此系统采用先进的大数据采集、建模、分析技术,通过度的信息采集和自动化的关联分析,能够及时发现网络中的威胁和异常行为。它结合了防火墙、入侵防御、终端安全等产品的安全联动功能,实现对威胁和异常行为的有效处置。
系统内置了九大类别的知识库,包括安全专家文章、案例、漏洞库、病毒库、补丁库等,超过两万条知识记录,并支持用户自行导入和导出,持续更新。通过图形化、可视化技术,系统将识别的威胁和异常直观地展现给用户,帮助用户全面掌握网络总体安全态势,迅速做出判断和决策。
该系统还支持对历史日志数据进行挖掘分析,发现日志和事件间的潜在关联关系,并将挖掘结果进行可视化展示。它自带多种数据统计预测算法,根据历史数据规律对未来数据进行有效预测。
采用多种安全检测模型,通过关联分析手段智能化、自动化地实现事件定位和问题处理,实时掌控全网安全态势。系统还支持漏洞扫描、配置脆弱性发现、威胁分析计算等安全风险评估与安全态势预测技术。
根据国际、国内相关的信息安全标准,系统制定了风险管理模型,不仅提供动态、实时的风险评估及多视角、多视图的企业风险与安全态势可视化展示,还根据灵活的响应方式和专家系统建议,指导用户采取及时、恰当的防护手段。
系统通过关联分析模块对各种设备的日志报警信息进行归并和范式化处理,帮助用户更直接地识别威胁性质。它支持基于事件规则、统计规则、时间规则等多种关联方式。在规定时间范围内,根据多种条件触发安全响应,支持防火墙联动、TRAP告警、邮件、声光、短信、弹窗等多种响应方式。
该系统能够呈现信息资产实时监控状态、业务分析状态、地址/热点/威胁/攻击态势情况、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理等功能。它通过事件的归一化处理实现高性能的海量事件存储和检索优化。
在硬件形态上,该系统为软硬件一体化设备,完整的国产软件产品,采用标准机架设备,支持B/S架构。管理中心与日志采集器可配合使用,支持分布式部署。产品至少提供四种接口和一种电源。
在系统功能方面,产品采用高性能多核多平台并行安全操作系统,并提供著作权。其部署方式为旁路模式,支持对多种对象进行日志采集。它还支持资产监控、可视化展示以及告警统计等功能。
系统还支持在线/离线配置核查、网络设备主动漏洞扫描和第三方漏洞报告导入等功能。知识库方面则包括安全专家文章、案例等类别。在报表方面,它内置了多种内置报表组并支持自定义生成报表模板。