日志審計(jì)系統(tǒng)的基本原理與部署方式

什么是日志審計(jì)？

綜合日志審計(jì)平臺(tái)，通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理，結(jié)合豐富的日志統(tǒng)計(jì)匯總及關(guān)聯(lián)分析功能，實(shí)現(xiàn)對(duì)信息系統(tǒng)日志的全面審計(jì)。

通過日志審計(jì)系統(tǒng)，企業(yè)管理員隨時(shí)了解整個(gè)IT系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)系統(tǒng)異常事件；另一方面，通過事后分析和豐富的報(bào)表系統(tǒng)，管理員可以方便高效地對(duì)信息系統(tǒng)進(jìn)行有針對(duì)性的安全審計(jì)。遇到特殊安全事件和系統(tǒng)故障，日志審計(jì)系統(tǒng)可以幫助管理員進(jìn)行故障快速定位，并提供客觀依據(jù)進(jìn)行追查和恢復(fù)。[百度百科]

為什么需要日志審計(jì)平臺(tái)？

1. 日志審計(jì)的合規(guī)要求，由于網(wǎng)絡(luò)安全法的頒布實(shí)施，由原先的不合規(guī)轉(zhuǎn)變成了不合法。如果不對(duì)要求的相關(guān)日志不做留存6個(gè)月以上，一旦追查，將面臨法律責(zé)任。
2. 安全運(yùn)營的挑戰(zhàn)。隨著網(wǎng)絡(luò)設(shè)備的增多，以及服務(wù)器數(shù)量的增多，如果沒有統(tǒng)一的綜合日志審計(jì)平臺(tái)，那么需要登錄到每臺(tái)設(shè)備上查看日志，不利于運(yùn)維人員管理。而且眾多設(shè)備會(huì)產(chǎn)生海量的日志，無法有效管理。多種設(shè)備形成信息孤島，日志無法關(guān)聯(lián)分析。通過統(tǒng)一的日志審計(jì)平臺(tái)，將所有設(shè)備日志都收集到日志平臺(tái)進(jìn)行統(tǒng)一管理，統(tǒng)一分析。

日志審計(jì)的核心目標(biāo)：

• 多源數(shù)據(jù)歸一化
• 日志存儲(chǔ)集中化
• 關(guān)聯(lián)分析自動(dòng)化
• 安全態(tài)勢(shì)立體化

日志審計(jì)的主要功能

設(shè)計(jì)思路：

統(tǒng)一日志采集：

• 對(duì)不同日志源 (主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用中間件、數(shù)據(jù)庫等)所產(chǎn)生的日志進(jìn)行收集，實(shí)現(xiàn)日志的集中管理和存儲(chǔ)。支持解析任意格式、任意來源的日志，通過解析規(guī)則標(biāo)準(zhǔn)化。
• 使用無代理的方式收集日志。
• 支持代理方式的日志收集。

關(guān)聯(lián)分析：

• 預(yù)置多種事件關(guān)聯(lián)規(guī)則。
• 定位外部威脅、黑客攻擊、內(nèi)部違規(guī)操作，設(shè)備異常。
• 簡(jiǎn)單靈活定義關(guān)聯(lián)規(guī)則。

實(shí)時(shí)告警：

• 通過郵件、短信、聲音對(duì)發(fā)生的告警進(jìn)行及時(shí)通知，并可通過接口調(diào)用自動(dòng)運(yùn)行程序或腳本。
• 通過告警策略定義，對(duì)各類風(fēng)險(xiǎn) 和事件進(jìn)行及時(shí)告警或預(yù)警，提升運(yùn)維效率。

日志取證分析：

• 深入分析原始日志事件，快速定位問題的根本原因。
• 生成取證報(bào)表，例如攻擊威脅報(bào)表、Windows/Linux系統(tǒng)審計(jì)報(bào)表以及合規(guī)性審計(jì)報(bào)表等。

監(jiān)管合規(guī)：

• 提供Windows審計(jì)、Linux審計(jì)、PCI、SOX、ISO27001等合規(guī)性報(bào)表。
• 支持創(chuàng)建自定義合規(guī)性報(bào)表

日志審計(jì)系統(tǒng)產(chǎn)品功能結(jié)構(gòu)：

產(chǎn)品功能

圖：日志審計(jì)系統(tǒng)產(chǎn)品功能結(jié)構(gòu)

日志審計(jì)系統(tǒng)的主要工作原理是，通過日志采集器，各種設(shè)備將日志推送到日志審計(jì)平臺(tái)，然后日志審計(jì)平臺(tái)通過日志解析，日志過濾，日志聚合等進(jìn)行關(guān)聯(lián)分析，從而進(jìn)行告警，統(tǒng)計(jì)報(bào)表，也可以進(jìn)行資產(chǎn)管理，日志檢索等。

日志的轉(zhuǎn)發(fā)方式：

日志轉(zhuǎn)發(fā)一般可以通過：Syslog轉(zhuǎn)發(fā)，Kafka轉(zhuǎn)發(fā)，http轉(zhuǎn)發(fā)。

日志收集一般支持：Syslog、SNMP等日志協(xié)議。

日志審計(jì)系統(tǒng)常見模塊：

• 日志事件獲取模塊：安全事件監(jiān)控系統(tǒng)是實(shí)時(shí)掌握全網(wǎng)的安全威脅狀況的重要手段之一。通過事件監(jiān)控模塊監(jiān)控各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報(bào)警信息等，及時(shí)發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，通過響應(yīng)模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。
• 資產(chǎn)管理模塊：資產(chǎn)管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全管理平臺(tái)所管轄的設(shè)備和系統(tǒng)對(duì)象的管理。它將其所轄IP設(shè)備資產(chǎn)信息按其重要程度分類登記入庫，并為其他安全管理模塊提供信息接口。
• 規(guī)則庫模塊：規(guī)則庫已支持主流網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等，而且還應(yīng)涵蓋已經(jīng)部署的安全系統(tǒng)，包括防火墻系統(tǒng)、防病毒系統(tǒng)等。并提供新日志格式適配功能，支持從安全運(yùn)營中心平臺(tái)接收新日志解析映射規(guī)則配置。用戶可以根據(jù)該適配功能，對(duì)新日志格式進(jìn)行自行適配。
• 統(tǒng)計(jì)報(bào)表功能：具備強(qiáng)大的統(tǒng)計(jì)功能，可快速生成多種專業(yè)化的報(bào)表并支持自定義圖表的設(shè)定集展示。
• 權(quán)限管理模塊：超級(jí)管理員可根據(jù)用戶角色分配平臺(tái)查看、操作各模塊的權(quán)限，用戶可以訪問而且只能訪問自己被授權(quán)的資源

日志審計(jì)平臺(tái)的部署方式

硬件產(chǎn)品部署方式：

一般日志審計(jì)系統(tǒng)采用旁路部署即可，只要到達(dá)全部設(shè)備網(wǎng)絡(luò)可通即可。

支持單機(jī)部署和分布式部署。

免費(fèi)領(lǐng)?。核固垢?/a>

喜歡的這里報(bào)道

↘↘↘