日志审计SIP-Logge

帮助中心 / 安全组件 / 日志审计SIP-Logge / 产品简介 / 产品功能 /

产品功能

更新时间: 2022-08-30 21:06:00

数据采集

采集是助企云日志审计的重要功能模块,它承载了日志或事件采集标准化、过滤、归并功能。采集管理是系统进行分析的第一步,用户通过指定需要采集的目标、相关采集参数(Syslog、SNMP、Trap、Winlogbeat助企云自定义协议等被动方式无需指定)、相关的过滤策略和归并策略等创建日志采集器,以收集相关设备或系统的日志。

数据范式化

接入方式:包括被动接收(syslog、winlogbeat、snmp trap)、主动拉取(wmi、jdbc、Webservice、FTP)两大类不同的系统或设备所产生的日志格式是不尽相同的,这给分析和统计带了巨大的麻烦,所以在助企云日志审计中内置了众多的标准化脚本以处理这种情形;即便对于某些特殊的设备,如某个系统的新型号,您没有发现相关的解析脚本,助企云日志审计也提供了相应的定制方法以解决这些问题。

数据过滤

为了对接收的日志数量进行压缩,助企云日志审计还提供了数据过滤功能,在配置数据源时,可以设置需要过滤掉的日志条件,支持多字段过滤,配置完成后,logstash会根据配置的过滤条件将匹配上的日志丢弃。例如需要过滤掉源IP为1.1.1.1的日志,则配置: 源IP = 1.1.1.1 即可。也可以配置多个过滤条件,多个条件之间为AND关系。

数据转发

支持将归一化后的数据通过syslog协议转发到第三方系统中,包括对接安全感知平台。当前产品的优势之一:是支持无缝对接安全感知平台,且感知平台可对接入的数据进行分析。转发配置相对比较灵活,支持如1、2、3台设备的日志转发到A服务器上;4、5设备的日志转发到B服务器上;或者同时将1、2、3、4、5设备的日志都转发到A服务器上。

数据分析

针对数据分析、日志审计,提供审计策略、关联策略。

• 审计策略

从流量中还原FTP会话数据,数据中至少包含登录用户、传输文件名以及操作命令等信息。审计是基于事先配置号的规则生成日志,记录可能发生在系统上的事件。审计不会为系统提供额外的完全防护,但它会发现并记录违反安全策略的人及其对应的行为,审计能够记录的日志内容:日期与事件、事件结果、触发事件的用户、认证机制如SSH等、对关键数据文件的修改行为等。

审计策略是指在海量日志中提取出用户关心的那部分日志,将原始日志按照一定的内容解析成用户可理解事件。例如windsows主机会产生大量日志,用户只关注登录日志,那么可以配置一条审计策略将其过滤解析出来。 当前系统中内置了针对windows主机、linux主机、数据库的45条审计策略

• 关联策略

关联策略即关联规则,从海量日志中提取出风险。当前产品为不同的攻击场景内置的预定义规则和由分析人员创建和调整的自定义规则。当前内置了部分左右的关联规则,且支持用户自定义关联规则,自定义规则支持统计类规则。

事件分析

助企云日志审计的事件分析功能是系统中的核心功能之一;其中关联分析策略主要侧重于各类日志之间可能存在的逻辑关联关系。匹配上规则后,会产生对应的事件,在事件页面展示。

助企云日志审计不仅支持以预定义规则的方式进行事件关联,还支持基于状态、时序、归并等发现方式的关联。

对于事件关联分析所产生的结果将在关联事件中呈现,如果符合关联策略,将以告警的形式在实时监控模块呈现给用户,用户可以对告警进行相关的处理。

审计管理

助企云日志审计的审计管理功能是系统的核心功能之一,其中审计策略主要侧重于发现日志中相关要素是否和预定的策略相符,如时间、地点、人员、方式等;日志分析管理系统支持以预定义规则的方式进行审计;支持基于模式发现方式的关联。

对于根据审计策路所产生的审计违规结果,系统将在审计事件中呈现给用户,如果符合定制的审计策略,也会在实时监控模块以告警形式展现给用户。

告警监控

所谓告警是指用户特别需要关注的安全问题,这些问题来源于事件分析、审计分析的结果。告警监控中包括了如下功能:

• 告警监控:用户可以通过定义过滤器以监控需要特别关注的告警信息,用户也可以根据个人需求,设置告警的提示音、界面显示方式等;

• 告警处理:处理监控列表中相关告警;针对告警,用户可以清除(不予关注)、确认(已知告警可后续处理)。

详细功能如下表所示,交付版本:3.0.10 

功能项功能描述
首页基于审计总览形式,展示整体的审计情况,包括:1.当前存储空间,日志传输总数量、预计可以存储天数、已存储天数等日志审计基础信息;2.审计事件:展示当前审计到的数据趋势图,事件TOP5;3.关联事件:展示当前到的数据趋势图,事件TOP5;4.日志传输趋势:最近一段时间内传输的日志趋势;模块设置中可以自由选择需要显示的模块;
关联事件告警接入设备的日志同步过来后,如果匹配上关联规则,则会在关联事件页面展示:1.事件类型分布TOP5;2.对象IP统计TOP5;3.事件等级分布;4.事件趋势;5.事件列表,点击查看日志可跳转到日志检索
审计事件告警接入设备的日志同步过来后,如果匹配上关联规则,则会在关联事件页面展示:1.事件类型分布TOP5;2.对象IP统计TOP5;3.事件等级分布;4.事件趋势;5.事件列表,点击日志条数可跳转到日志检索
日志告警对同步过来的日志进行归一化后,对日志等级进行映射,日志告警根据不同设备会统计不同等级下的日志数
日志检索1.支持多种输入方式,搜索框模糊输入搜索,或者指定字段通过语法搜索;如支持IP、url等模糊搜索;2.新增过滤条件指定字段进行搜索,如:(1)可根据时间、攻击类型、严重等级等选择项进行组合查询。(2)可根据具体设备、来源/目的所属(可具体到外网、内网资产等)、IP地址、特征ID、URL进行具体条件搜索;3.日志可以定时刷新;4.搜索框鼠标放上去,会显示对应的字段;5.日志总条数突出;6.表格数据默认收起统计信息;7.修改日志检索中的帮助文档,提供的详细的查询使用说明
操作记录每个管理员账号对Logger及所有接入设备进行的任何登陆、编辑、删除等操作都会被记录,用于admin管理员审计。包括:1.管理员登陆信息,如成功、失败等;2.管理员对配置的创建、修改、删除等编辑操作
设备日志1.支持以标准syslog等形式接收第三方设备的日志并存储,同时提供基于ES框架的快速搜索能力,可对关键字进行模糊搜索;2.除了syslog以外,还支持FTP、Webservice(支持北信源VRV、Macfee EPO的接入)、JDBC(支持远望科技的接入)的日志数据拉取接入方式,支持通过agent、wmi接口采集windows日志;3.支持通过SIEM日志解析引擎对第三方日志接入模块进行统一独立的升级维护;4.支持对常见安全设备日志范式解析
日志过滤在新增设备时,可以指定字段设置过滤条件,将不需要的数据过滤掉,支持指定36个字段进行过滤,且可指定多个字段,默认支持AND的关系
日志转发支持批量或者单台设备数据转发,且可支持同时转发给多台设备,使用的是syslog转发
日志存储可自定义设置日志存储天数,容量告警提示等;随时满足存储超过6个月以上的合规要求
解码小工具安全检测日志的源内容支持按照不同的解码方式解码成不同的目标内容,编码格式包括base64、Unicode、GBK、HEX、UTF-8等
大数据架构基于logstash的接入架构,可供多台设备同时接入同步数据,并实时分析展示
数据源对接通过接入序列号控制接入设备的个数。主要支持网络设备、安全设备、操作系统、中间件、数据库等设备的日志接入,可以获取到设备的传输日志量,设备同步数据状态等信息
审计策略内置了45条审计策略,包括操作系统、数据库。可启用/禁用策略,默认匹配上后都会产生页面告警,支持开启邮件告警
关联策略内置85条关联规则,包括主机异常、账号异常、权限异常等。支持新增统计类规则,可启用/禁用规则,默认匹配上后都会产生页面告警,支持开启邮件告警
采集策略支持780+第三方日志采集器;支持200+设备日志归一化
报表内置主机安全报表(linux)、主机安全报表(windows)、数据库安全报表、网络设备安全报表、应用安全报表五种;支持导出日报、周报、月报
软件版部署支持虚拟化场景下,安装部署软件版日志审计;支持实体机硬件设备场景下,安装部署软件版日志审计
管理员权限1.提供管理员账号创建、修改、删除,并可针对创建的管理员进行权限设置;2.支持IP免登录,指定IP免认证直接进入平台,免去输入账号密码的麻烦;支持只允许某些IP登录平台,防止无关IP登录平台,提高安全性;3.支持页面权限配置和资产范围配置,用于管理账号权限,满足用户三权分立的需求;4.支持usb-key认证
系统设置可对接口、日志、控制台、邮件服务器、路由等进行配置,并可进行恢复出厂设置、重启设备、同步时间等操作;用户可以自定义删除日志规则,便于保存自己想要的东西
数据备份支持接入的全部日志、自身操作日志进行ftp备份;支持自动定时备份,自动同步到ftp服务器。
升级管理日志分析管理系统只支持从页面导入升级,可以查看升级是否成功;
系统维护方便用户手动备份配置并进行恢复,防止配置丢失,同时方便迁移配置;恢复出厂设置时个性化选择需要清空的内容(配置、数据、事件),恢复出厂设置更加灵活