日志审计系统是南京铱迅信息技术股份有限公司独立研发的、拥有自主知识产权的新一代日志处理和分析的系统。系统通过集中采集各类系统中的安全事件(如网络攻击、防病毒等)、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息,经过标准化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理。仅通过简洁的实时监控界面,用户即可实时动态了解当前整个系统的安全态势,获知异常安全事件和审计违规情况,系统也提供了强大的安全异常问题分析追溯功能。
通过日志审计系统,相关人员可以随时了解整个系统的运行情况,及时发现系统异常事件及非法访问行为;通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统可以确保日志完整性和可用性,协助管理员进行故障快速定位,并提供客观依据进行追查和恢复。
因此,日志审计系统可以帮助用户有效降低系统的故障带来的损失,降低运维成本和管理的复杂度,显著提高系统整体的安全性、可靠性和运行效率,保证信息系统7X24的正常、持续、稳定运行,从而降低信息系统的整体安全风险。
采集管理是系统进行分析的第一步,用户通过指定需要采集的目标、相关采集参数(Syslog、SNMP Trap等被动方式无需指定)、相关的过滤策略和归并策略等创建日志采集器,以收集相关设备或系统的日志。包括采集策略管理和采集器管理。
标准化
在之前的章节提到过,不同的系统或设备所产生的日志格式是不尽相同的,这就给分析和统计带了巨大的麻烦,所以在日志审计系统中内置了众多的标准化脚本以处理这种情形;即便对于某些特殊的设备,您没有发现相关的解析脚本,日志审计系统也提供了相应的定制方法以解决这些问题。
过滤和归并
为了对接收的日志数量进行压缩,日志审计系统还提供了过滤和归并功能;其中,过滤功能不仅仅是丢弃那些觉得无用的日志,而且也可以将它们转发到外部系统或对部分事件字段进行重新填充。
采集器事件接入管理是为了在采集控制器上设置需要接收、标准化哪些设备/系统的安全事件/日志;它是安全事件管理的核心内容,也是系统安全事件/日志的唯一来源。
需要注意的是各种采集方式适用的场景不尽相同,在实际设置时应根据具体的被接入设备进行设置,如:
日志审计系统的事件分析功能是系统中的重要功能之一,对于分析所产生的结果将在关联事件中呈现,如果符合关联策略,将以告警的形式在实时监控模块呈现给用户,用户可以对告警进行相关的处理。
通过关联策略的建立,系统不仅支持以预定义规则的方式进行关联,还支持基于模式发现方式的关联;系统不仅支持短时间内的序列关联,还支持长时间的关联(最长可达30天)。
用户可以定义各类告警产生的策略(系统内置了部分策略);在策略中可以设定对于安全数据的筛选条件、归并字段、时长和次数以及命中后产生何种响应;响应包括包含发送邮件、发送Syslog或SNMP Trap、执行外部程序或脚本、暂存数据(用户可以将数据保存在临时表中作为其它策略的输入)等。
日志审计系统的审计管理能是系统中的重要功能之一,审计管理侧重于发现日志中相关要素是否和预定的审计策略相符,如时间、IP地址、人员、方式等,对于相符合的结果,系统将在审计事件中呈现给用户,如果符合定制的审计策略,也会在实时监控模块以告警形式展现给用户。
审计管理为审计人员、系统管理人员提供了一个统一的审计工具,减少人、财、物的投入,降低了综合审计成本。
审计管理能够方便的自定义审计人员、行为对象、审计类型、审计策略等基本配置;并能够自定义审计策略模板,审计管理内置了大量审计策略模板,涵盖了常见的、对企业非常实用的审计策略模板,如主机、防火墙、数据库、萨班斯审计策略模板等。
安全监控包括告警监控和实时监控。
所谓告警是指用户特别需要关注的安全问题,这些问题来源于事件分析、审计分析的结果。
告警监控中包括了如下功能:
所谓实时监控是指对当前接入的事件日志的逐条、实时显示,显示的日志内容是可以根据用户的需求进行设置过滤条件来定制的。
实时监控中包括了如下功能:
安全资产是系统基础的管理对象、是风险分析的依据;与ISO27001的关于资产的定义略有不同,日志审计系统中的资产是特指具有IP地址的IT类设备及其之上运行的、可管理的服务、应用。
一般而言,资产具备如下两类属性:
系统为用户提供了简单易用的界面,即使是初次使用日志审计系统,也完全能在较短的时间内掌握。
从产品设计角度而言,日志审计系统具有极大的灵活性,主要体现在如下几个方面:
支持基于规则和基于统计的关联分析,支持多种数据来源和响应方式,能够基于资产进行综合风险分析和计算;支持长时间的关联分析。
支持高速的事件处理,支持分布式采集、集中处理和存储。
“铱迅日志审计系统”以一体式部署时,所有组件可部署在同一节点。
“铱迅日志审计系统”以分布式部署时,采集器可视用户需求部署在任何网络可达区域。
