日志审计分析系统是“今天科技”针对目前各类信息化产品的日志数量巨大、格式繁杂、存放分散、人为审计困难等问题,研发出的日志安全审计产品。
日志审计分析系统具备对整个信息系统中的各类日志进行集中采集、集中管理、集中审计的能力。通过部署日志审计分析系统,一方面可以集中收集、长时间存放所有的记录日志,避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生。另一方面,强大的日志审计能力可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段,从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成,大大减少信息部门的工作量。
技术架构
日志审计集中、统一:日志审计分析平台提供强大的日志综合审计功能,为不同层级的用户提供了多视角、多层次的审计视图。
日志、报警标准通用:根据多年的网络安全经验,总结出了通用标准的安全事件归一化格式和分类体系结构。
大数据架构:采用大数据分布式架构,支持亿级数据的实时统计、查询、分析。
审计结果视图灵活、多样:为不同层级的用户提供了多视角、多层次的审计视图。系统内置提供了常用统计视图,并可以自定义统计策略构建统计视图。
智能收集:不断的连接检查和完整性检查以及可自定义的缓存功能,可确保平台接收到所有数据,并对传输链的
各个环节进行监控;可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志,强大的数据压缩功能可节省昂贵的带宽。
日志解析能力强大:解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法。
关联算法先进:日志审计系统的关联分析引擎采用实时流分析+全量数据关联分析的设计,同时保证了关联分析的实时性和超长的时间范围覆盖度。
可维护性和可拓展性:系统具有对自身的维护配置功能,如:系统参数设置、系统日志管理等。 硬件系统采用模块结构,保证系统内存、CPU及储存容量的扩展;
简洁、高效、精准的日常运维:系统统一收集来自网络中对IT资产的日志信息,通过分析日志中的安全事件,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告。使得日程运维简洁、高效、精准。
全生命周期日志管理:实现从各种IT资产操作行为的产生、采集、综合分析与审计、到事件数据存储、备份整个审计日志的全生命周期管理。通过集中化的日志管理系统,协助客户解决网络中日志分散、种类繁多、数量巨大的问题,提升安全运营效率。
精准取证:将收集到的原始日志完整保存,并进行全文索引。可为各种安全事件的事后分析、取证提供依据。也可备调查取证和交互式分析之用。
审计视角全面:针对安全管理员、安全负责人、企业领导等设置不同视角,可实现不同视角的视图。
等保合规:充分考虑的国家制定的信息系统等级保护制度中对于安全审计的技术要求。系统能够帮助客户更好地遵从等级保护的审计要求。
日志审计分析系统采用一体机方式部署,适用于如上市公司、大中型企业、银行、证券、保险、电子政务、电子商务、医疗卫生等系统,其部署方式灵活快速。
方案一:典型部署
业务系统机上,接收所有IT设备的日志记录,并对审计记录进行管理与分析。
方案二:多采集器部署
通过分布在多个地点的采集器,采集各IT系统的日志数据,集中分析处理,并对审计数据进行集中分析管理。
