產品詳情
|
深信服日志審計系統
深信服日志審計系統提供了眾多基于日志分析功能,如安全日志的集中采集、分析挖掘、合規審計、實時監控及安全告警等,系統配備了全球IP歸屬及地理位置信息數據,為安全事件的分析、溯源提供了有力支撐,深信服日志審計系統能夠同時滿足企業實際運維分析需求及審計合規需求,是企業日常信息安全工作的重要支撐平臺。
采集管理
采集是深信服日志審計系統的重要功能模塊,它承載了日志或事件采集標準化、過濾、歸并功能。采集管理是系統進行分析的第一步,用戶通過指定需要采集的目標、相關采集參數(Syslog、SNMP Trap 等被動方式無需指定)、相關的過濾策略和歸并策略等創建日志采集器,以收集相關設備或系統的日志。
攻擊檢測
攻擊檢測來源于對網絡流量的應用層進行檢測,需要配合相關特征庫,通過專門的攻擊檢測規則實現,而且一旦符合會在系統中生成安全事件包括網絡攻擊檢測、明文傳輸檢測、過期系統或軟件檢測、木馬檢測、隱蔽通道檢測、電子加密貨幣活動檢測、勒索軟件檢測。
數據識別(標準化)
不同的系統或設備所產生的日志格式是不盡相同的,這給分析和統計帶了巨大的麻煩,所以在深信服日志審計系統中內置了眾多的標準化腳本以處理這種情形;即便對于某些特殊的設備,如某個系統的新型號,您沒有發現相關的解析腳本,深信服日志審計系統也提供了相應的定制方法以解決這些問題。
過濾和歸并
為了對接收的日志數量進行壓縮,深信服日志審計系統還提供了過濾和歸并功能;其中,過濾功能不僅僅是丟棄無用的日志,而且也可以將它們轉發到外部系統或對部分事件字段進行重新填充,如調整日志分類和安全級別。
實時監控
所謂實時監控是指對當前接入的事件日志的逐條、實時顯示,顯示的日志內容是可以根據用戶的需求進行設置過濾條件來定制的。實時監控中包括了如下功能:
設置監控過濾規則:根據用戶需要或分析過程的需要設定顯示過濾條件,便于觀察日志實時接收情況;
開始或暫停監控:根據過濾條件開始監控或暫停監控;
導出當前監控顯示的內容:當暫停監控時,用戶可以導出當前顯示的日志內容,便于后續分析、挖掘或追溯異常安全事件日志。
會話審計
深信服日志審計系統利用獨有的智能協議識別技術,可高速、準確地識別上千種應用,在解析五元組(源IP、目的IP、源端口、目的端口、協議)、會話發生時間外,根據不同應用協議各自有特有的特征信息可以更加深度的解析,滿足客戶會話審計的需求。
事件分析
深信服日志審計系統的事件分析功能是系統中的核心功能之一;其中關聯分析策略主要側重于各類日志之間可能存在的邏輯關聯關系。
深信服日志審計系統不僅支持以預定義規則的方式進行事件關聯,還支持基于狀態、時序、歸并等發現方式的關聯。
審計管理
深信服日志審計系統的審計管理功能是系統的核心功能之一,其中審計策略主要側重于發現日志中相關要素是否和預定的策略相符,如時間、地點、人員、方式等。
審計管理能夠方便地自定義審計人員、行為對象、審計類型、審計策略等基本配置;并能夠自定義審計策略模板,審計管理內置了大量審計策略模板,涵蓋了常見的、對企業非常實用的審計策略模板,如主機、防火墻、數據庫、薩班斯審計策略、等級保護策略模板等。
告警監控
所謂告警是指用戶特別需要關注的安全問題,這些問題來源于事件分析、審計分析的結果。告警監控中包括了如下功能:
告警監控:用戶可以通過定義過濾器以監控需要特別關注的告警信息,用戶也可以根據個人需求,設置告警的提示音、界面顯示方式等;
告警處理:處理監控列表中相關告警;針對告警,用戶可以清除(不予關注)、確認(已知告警可后續處理)。
采集是深信服日志審計系統的重要功能模塊,它承載了日志或事件采集標準化、過濾、歸并功能。采集管理是系統進行分析的第一步,用戶通過指定需要采集的目標、相關采集參數(Syslog、SNMP Trap 等被動方式無需指定)、相關的過濾策略和歸并策略等創建日志采集器,以收集相關設備或系統的日志。
攻擊檢測
攻擊檢測來源于對網絡流量的應用層進行檢測,需要配合相關特征庫,通過專門的攻擊檢測規則實現,而且一旦符合會在系統中生成安全事件包括網絡攻擊檢測、明文傳輸檢測、過期系統或軟件檢測、木馬檢測、隱蔽通道檢測、電子加密貨幣活動檢測、勒索軟件檢測。
數據識別(標準化)
不同的系統或設備所產生的日志格式是不盡相同的,這給分析和統計帶了巨大的麻煩,所以在深信服日志審計系統中內置了眾多的標準化腳本以處理這種情形;即便對于某些特殊的設備,如某個系統的新型號,您沒有發現相關的解析腳本,深信服日志審計系統也提供了相應的定制方法以解決這些問題。
過濾和歸并
為了對接收的日志數量進行壓縮,深信服日志審計系統還提供了過濾和歸并功能;其中,過濾功能不僅僅是丟棄無用的日志,而且也可以將它們轉發到外部系統或對部分事件字段進行重新填充,如調整日志分類和安全級別。
實時監控
所謂實時監控是指對當前接入的事件日志的逐條、實時顯示,顯示的日志內容是可以根據用戶的需求進行設置過濾條件來定制的。實時監控中包括了如下功能:
設置監控過濾規則:根據用戶需要或分析過程的需要設定顯示過濾條件,便于觀察日志實時接收情況;
開始或暫停監控:根據過濾條件開始監控或暫停監控;
導出當前監控顯示的內容:當暫停監控時,用戶可以導出當前顯示的日志內容,便于后續分析、挖掘或追溯異常安全事件日志。
會話審計
深信服日志審計系統利用獨有的智能協議識別技術,可高速、準確地識別上千種應用,在解析五元組(源IP、目的IP、源端口、目的端口、協議)、會話發生時間外,根據不同應用協議各自有特有的特征信息可以更加深度的解析,滿足客戶會話審計的需求。
事件分析
深信服日志審計系統的事件分析功能是系統中的核心功能之一;其中關聯分析策略主要側重于各類日志之間可能存在的邏輯關聯關系。
深信服日志審計系統不僅支持以預定義規則的方式進行事件關聯,還支持基于狀態、時序、歸并等發現方式的關聯。
審計管理
深信服日志審計系統的審計管理功能是系統的核心功能之一,其中審計策略主要側重于發現日志中相關要素是否和預定的策略相符,如時間、地點、人員、方式等。
審計管理能夠方便地自定義審計人員、行為對象、審計類型、審計策略等基本配置;并能夠自定義審計策略模板,審計管理內置了大量審計策略模板,涵蓋了常見的、對企業非常實用的審計策略模板,如主機、防火墻、數據庫、薩班斯審計策略、等級保護策略模板等。
告警監控
所謂告警是指用戶特別需要關注的安全問題,這些問題來源于事件分析、審計分析的結果。告警監控中包括了如下功能:
告警監控:用戶可以通過定義過濾器以監控需要特別關注的告警信息,用戶也可以根據個人需求,設置告警的提示音、界面顯示方式等;
告警處理:處理監控列表中相關告警;針對告警,用戶可以清除(不予關注)、確認(已知告警可后續處理)。
津公網安備 12010402000903號