产品详情
|
深信服日志审计系统
深信服日志审计系统提供了众多基于日志分析功能,如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等,系统配备了全球IP归属及地理位置信息数据,为安全事件的分析、溯源提供了有力支撑,深信服日志审计系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息安全工作的重要支撑平台。
采集管理
采集是深信服日志审计系统的重要功能模块,它承载了日志或事件采集标准化、过滤、归并功能。采集管理是系统进行分析的第一步,用户通过指定需要采集的目标、相关采集参数(Syslog、SNMP Trap 等被动方式无需指定)、相关的过滤策略和归并策略等创建日志采集器,以收集相关设备或系统的日志。
攻击检测
攻击检测来源于对网络流量的应用层进行检测,需要配合相关特征库,通过专门的攻击检测规则实现,而且一旦符合会在系统中生成安全事件包括网络攻击检测、明文传输检测、过期系统或软件检测、木马检测、隐蔽通道检测、电子加密货币活动检测、勒索软件检测。
数据识别(标准化)
不同的系统或设备所产生的日志格式是不尽相同的,这给分析和统计带了巨大的麻烦,所以在深信服日志审计系统中内置了众多的标准化脚本以处理这种情形;即便对于某些特殊的设备,如某个系统的新型号,您没有发现相关的解析脚本,深信服日志审计系统也提供了相应的定制方法以解决这些问题。
过滤和归并
为了对接收的日志数量进行压缩,深信服日志审计系统还提供了过滤和归并功能;其中,过滤功能不仅仅是丢弃无用的日志,而且也可以将它们转发到外部系统或对部分事件字段进行重新填充,如调整日志分类和安全级别。
实时监控
所谓实时监控是指对当前接入的事件日志的逐条、实时显示,显示的日志内容是可以根据用户的需求进行设置过滤条件来定制的。实时监控中包括了如下功能:
设置监控过滤规则:根据用户需要或分析过程的需要设定显示过滤条件,便于观察日志实时接收情况;
开始或暂停监控:根据过滤条件开始监控或暂停监控;
导出当前监控显示的内容:当暂停监控时,用户可以导出当前显示的日志内容,便于后续分析、挖掘或追溯异常安全事件日志。
会话审计
深信服日志审计系统利用独有的智能协议识别技术,可高速、准确地识别上千种应用,在解析五元组(源IP、目的IP、源端口、目的端口、协议)、会话发生时间外,根据不同应用协议各自有特有的特征信息可以更加深度的解析,满足客户会话审计的需求。
事件分析
深信服日志审计系统的事件分析功能是系统中的核心功能之一;其中关联分析策略主要侧重于各类日志之间可能存在的逻辑关联关系。
深信服日志审计系统不仅支持以预定义规则的方式进行事件关联,还支持基于状态、时序、归并等发现方式的关联。
审计管理
深信服日志审计系统的审计管理功能是系统的核心功能之一,其中审计策略主要侧重于发现日志中相关要素是否和预定的策略相符,如时间、地点、人员、方式等。
审计管理能够方便地自定义审计人员、行为对象、审计类型、审计策略等基本配置;并能够自定义审计策略模板,审计管理内置了大量审计策略模板,涵盖了常见的、对企业非常实用的审计策略模板,如主机、防火墙、数据库、萨班斯审计策略、等级保护策略模板等。
告警监控
所谓告警是指用户特别需要关注的安全问题,这些问题来源于事件分析、审计分析的结果。告警监控中包括了如下功能:
告警监控:用户可以通过定义过滤器以监控需要特别关注的告警信息,用户也可以根据个人需求,设置告警的提示音、界面显示方式等;
告警处理:处理监控列表中相关告警;针对告警,用户可以清除(不予关注)、确认(已知告警可后续处理)。
采集是深信服日志审计系统的重要功能模块,它承载了日志或事件采集标准化、过滤、归并功能。采集管理是系统进行分析的第一步,用户通过指定需要采集的目标、相关采集参数(Syslog、SNMP Trap 等被动方式无需指定)、相关的过滤策略和归并策略等创建日志采集器,以收集相关设备或系统的日志。
攻击检测
攻击检测来源于对网络流量的应用层进行检测,需要配合相关特征库,通过专门的攻击检测规则实现,而且一旦符合会在系统中生成安全事件包括网络攻击检测、明文传输检测、过期系统或软件检测、木马检测、隐蔽通道检测、电子加密货币活动检测、勒索软件检测。
数据识别(标准化)
不同的系统或设备所产生的日志格式是不尽相同的,这给分析和统计带了巨大的麻烦,所以在深信服日志审计系统中内置了众多的标准化脚本以处理这种情形;即便对于某些特殊的设备,如某个系统的新型号,您没有发现相关的解析脚本,深信服日志审计系统也提供了相应的定制方法以解决这些问题。
过滤和归并
为了对接收的日志数量进行压缩,深信服日志审计系统还提供了过滤和归并功能;其中,过滤功能不仅仅是丢弃无用的日志,而且也可以将它们转发到外部系统或对部分事件字段进行重新填充,如调整日志分类和安全级别。
实时监控
所谓实时监控是指对当前接入的事件日志的逐条、实时显示,显示的日志内容是可以根据用户的需求进行设置过滤条件来定制的。实时监控中包括了如下功能:
设置监控过滤规则:根据用户需要或分析过程的需要设定显示过滤条件,便于观察日志实时接收情况;
开始或暂停监控:根据过滤条件开始监控或暂停监控;
导出当前监控显示的内容:当暂停监控时,用户可以导出当前显示的日志内容,便于后续分析、挖掘或追溯异常安全事件日志。
会话审计
深信服日志审计系统利用独有的智能协议识别技术,可高速、准确地识别上千种应用,在解析五元组(源IP、目的IP、源端口、目的端口、协议)、会话发生时间外,根据不同应用协议各自有特有的特征信息可以更加深度的解析,满足客户会话审计的需求。
事件分析
深信服日志审计系统的事件分析功能是系统中的核心功能之一;其中关联分析策略主要侧重于各类日志之间可能存在的逻辑关联关系。
深信服日志审计系统不仅支持以预定义规则的方式进行事件关联,还支持基于状态、时序、归并等发现方式的关联。
审计管理
深信服日志审计系统的审计管理功能是系统的核心功能之一,其中审计策略主要侧重于发现日志中相关要素是否和预定的策略相符,如时间、地点、人员、方式等。
审计管理能够方便地自定义审计人员、行为对象、审计类型、审计策略等基本配置;并能够自定义审计策略模板,审计管理内置了大量审计策略模板,涵盖了常见的、对企业非常实用的审计策略模板,如主机、防火墙、数据库、萨班斯审计策略、等级保护策略模板等。
告警监控
所谓告警是指用户特别需要关注的安全问题,这些问题来源于事件分析、审计分析的结果。告警监控中包括了如下功能:
告警监控:用户可以通过定义过滤器以监控需要特别关注的告警信息,用户也可以根据个人需求,设置告警的提示音、界面显示方式等;
告警处理:处理监控列表中相关告警;针对告警,用户可以清除(不予关注)、确认(已知告警可后续处理)。
