安全简单的部署
旁路部署到系统中,对现网不产生任何影响。产品配置简单,基本上可以做到零配置。横向集群方式可以支持海量日志的收集,存储,分析展示的能力。
综合全面的日志收集
分布式采集,支持自定义数据采集策略。
支持各种协议采集,包括 syslog,SFTP,jdbc 等。
支持各种日志类型,包括主机,数据库,网络设备,安全设备,业务系统等。
自动识别各种日志类型,自动抽取关键字段,将非结构化的日志转化为结构化数据。
支持对接其它安全工具采集主机的性能、状态、配置等信息。
对于所有采集上来的数据,系统自动进行范式化处理,将各种厂商各种类型的日志格式转换成系统一的格式。系统提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源 MAC地址、源端口、操作、目的地址、目的 MAC 地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等。在进行日志范式化的时候,系统对日志进行了信息补齐,加入了日志类型字段,对日志进行自动分类,北信源安全日志审计系统 V5.0 产品白皮书
为后续日志审计提供了便利条件。与此同时,系统将原始日志都原封不动保存了下来,以备调查取证之用。
系统可以对采集到的日志进行基于策略的过滤和归并,提升审计的效率。
通过过滤操作,可以剔除掉无用的数据信息,降低日志噪音。通过归并操作,可以把短时间内满足一定条件的多条日志合并成一条日志,减少日志的存储量。日志过滤和合并策略可以用户自定义,系统默认不进行过滤和合并。
系统能够对所有外接的采集器进行统一管理。用户可以对日志采集器进行登记、注销,进行日志采集参数的配置,设定范式化、过滤、归并、转发的参数。
采集代理:如果中心端无法通过远程方式主动或者被动地采集日志,那么系统提供了一个日志代理软件包。用户可以在被审计设备/系统上安装日志代理,采集到日志后,发送给日志审计系统。
3.3 集中化的日志存储管理
将日志进行集中化收集并存储,形成日志管理体系。
支持对采集的各种数据,系统自动进行范式化处理,支持安全属性的自动补全,支持事件的自动分类,为后续的检索、升级、分析等提供便利。
在管理界面中集中的查看所有的日志,无需再到第三方系统中查看。
对收集上来的日志进行统一的管理,同时满足对日志合规的要求。
支持数据的自动或手动备份,备份数据可手工恢复,用作日志回查。
系统对原始事件进行基于策略的过滤和归并,降低日志噪音,减少存储北信源安全日志审计系统 V5.0 产品白皮书
量。
强大的安全分析能力
实时审计分析。支持自定义安全审计策略,支持从任意维度观测安全事件的走向。支持对防火墙、IDS、IPS、防病毒、网络设备、主机、应用等安全事件进行审计,对违规登录、配置变更、关键服务器入侵等行为进行告警。
基于统计的分析。支持自定义安全统计分析策略,支持以柱状、饼状、堆叠图等形式对采集的安全事件按统计分析策略进行分析,能对主机登录失败次数、活跃病毒、设备故障排行、较多访问用户排行等场景进行统计分析和告警。北信源安全日志审计系统 V5.0 产品白皮书
基于关联的分析。支持自定义关联分析规则,能对符合关联规则条件的原始事件进行分析,解决单一设备无法识别的一些安全威胁。如绕过防火墙等。
快速实时的告警。入库即完成分析,满足规则即刻告警。
支持将告警数据推送到绩效评估工作平台。北信源安全日志审计系统 V5.0 产品白皮书
随心所欲的搜索
整合了全文搜索 Elasticsearch,对 Elasticsearch 进行了优化,并有源码级的支持能力。
对企业内的海量 IT 数据实现类似 Google 的搜索,快速返回任何关键字或短语的搜索结果。
通过搜索框,可立即搜索所有 IT 设备中任一格式的事件,通过交互式对比查询,可快速收缩事件范围。
支持自定义查询列表排序字段、默认条件、显示字段等。方便用户在海量数据中精准、快速的查询到任何一条原始事件
支持对数据库日志的集中查询、导出等。
系统将收集来的日志分布式的安全存储和备份。系统支持 TB 级的海量数据加密存储,满足合规与内控条款的相关需求。系统支持数据的自动或手动备份,备份数据可手工恢复,用作日志回查。
系统提供日志的查询功能,便于从海量数据中获取有用的日志信息。用户可自定义查询策略,基于日志时间、名称、地址、端口、类型等各种条件进行组合查询,并可导出查询结果。系统还提供快速查询和模糊查询功能。
用户在检索历史日志记录时,系统可以通过多条件相结合的方式进行日志查询,根据日志的类型、发生时间、不同字段内容等进行精细匹配,如:
日志源 IP、日志发生时间、登录账号、信息字段内容等,从而实现日志的快速准确定位。