产品概述:
金沙日志审计分析平台,具有日志采集、审计分析、事件查询、报表生成、设备监控、日志数据备份六项主要安全功能,是一款智能的全网日志采集、分析、审计与安全威胁监测产品。
金沙日志审计分析平台以大数据、机器学习技术为核心,快速全面的收集各类主机、数据库、安全设备、中间件以及业务系统等的日志信息,并进行日志全量存储、高级分析,及时有效的发现异常行为和安全事件,满足用户高效运维、安全分析及合规审计的需求。采集方式支持Syslog、数据库等。
产品架构包括:数据源、采集层、计算层、业务层、展示层。
¨ 数据源
数据源是指采集的日志对象,包括各类型的网络设备、安全设备、数据库、服务器、应用系统、中间件等能产生相关日志的设备和信息系统。
¨ 采集层
日志采集层利用Syslog、SNMP trap、WMI、FTP 、agent或流量镜像等方式进行日志采集,从数据源获取日志数据,并根据规则进行过滤、归并,同时把采集过来的非结构化的数据转换成结构化的数据。同时基于行为、状态等进行机器学习,提供给计算层分析。
¨ 计算层
当业务层需要使用到采集到的数据时,由计算层对采集到的数据进行提取、分析、统计。如产生安全事件告警时,由计算层提取数据,匹配业务层配置的安全策略进行分析,当判断有高危事件时,匹配业务层配置的告警订阅进行对应处理触发相应告警动作。
¨ 业务层
包括资产管理、日志源管理、日志检索、安全策略、统计报表等一系列用户实际使用业务,用户通过不同业务功能对系统进行不同的管理操作。
¨ 展示层
包括首页综合展示、检索查询结果、报表、统计图表等最终展示效果。
系统架构如下图所示:
产品特点:
安全合规
国家主管部门越来越重视网络安全建设,陆续出台了《中华人民共和国网络安全法》、等级保护、分级保护等法律法规。各行业随着网络应用比重加大,制定了行业标准和规范。系统优先保障存储网络日志6个月满足各项要求,同时内置基于等保合规性要求的分析及报表,可以提供用户开展合规性建设工作的技术支撑。用户通过丰富的合规分析对全网的安全事件进行全方位、多视角、细粒度的监测、查询、统计、分析,动态掌握网络的合规情况。通过系统对海量日志的采集、存储、分析能力,完全满足合规性要求。
提升全网安全性
金沙日志审计分析平台能够实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测、脆弱性监视,客户可轻松实现各资产间的关联分析,根据已知的情景作出预防响应,防患于未然。
提高IT运维效率
金沙日志审计分析平台实时采集并监控分析主机、数据库等日志及指标数据,洞察 IT 基础架构和业务服务运行状况;基于机器学习的智能化运维管理,快速定位系统故障,增强故障分析及处置能力,提高自动化运维管理效率。
产品功能列表:
|
功能模块 |
功能描述 |
|
审计仪表盘 |
¨ 支持自定义仪表盘,可在一个仪表盘中选择多个对应的微件,可涵盖日志中的所有字段,仪表盘具有全屏监控功能 ¨ 仪表盘中可直接导入事件统计中的各类图表 ¨ 支持实时监控,支持配置实时监控策略 ¨ 支持创建多个仪表盘 |
|
资产管理 |
¨ 支持资产主动发现。通过对网络进行资产扫描,可将发现的IP对象转资产或删除 ¨ 支持资产被动发现。可将网络划分成多个安全域,系统能自动发现安全域中的IP对象,并可以转资产或删除 ¨ 支持添加、修改、删除资产;支持对资产的基本属性进行维护,并可以增加自定义属性 ¨ 支持拓扑自动发现,可手动添加拓扑,并能够展示整体安全、事件分布、告警分布等 ¨ 支持资产自定义分级分组、标签 ¨ 支持在一个资产下添加多个日志源(日志采集的对象) ¨ 支持资产性能监控,如监控CPU、内存、磁盘使用率等资产指标 ¨ 支持资产地图,可查看资产整体安全状态、性能指标信息以及关联日志源的日志信息 |
|
日志采集 |
¨ 支持采集的对象包括安全设备、网络设备、操作系统、数据库、中间件、应用系统、虚拟机等 ¨ 支持主动、被动相结合的数据采集方式,支持通过Agent采集日志数据,支持通过Syslog、SNMP Trap、HTTP、TCP、telnet、JDBC、WMI、文件、Kafka等方式采集日志 ¨ 支持日志标准化解析(范式化、归一化),将不同格式日志解析为多个字段,自动识别系统类型至少达到200种 ¨ 支持日志自定义解析,系统自带图形化工具,可通过GROK、分隔符、JSON、XML、时间等自定义解析规则 ¨ 支持解析规则的批量导入/导出 ¨ 支持日志源的自动发现,根据接收到的日志自动识别并创建日志源 ¨ 支持日志源的自定义分级分组 ¨ 支持不同设备相同IP的日志识别 ¨ 支持自定义日志过滤策略,支持全局过滤、局部过滤,可选择对单个或多个日志源进行日志过滤 ¨ 日志过滤支持字段过滤与指定时段过滤 ¨ 支持对单个/多个日志源批量转发,支持定时转发,可通过Syslog、TCP和Kafka方式转发到第三方平台,并且支持转发原始日志和已解析日志 |
|
日志分析 |
¨ 系统内置审计策略,内置审计策略至少600条 ¨ 支持自定义审计策略 ¨ 支持从审计策略模板直接创建策略,并可通过事件的任意字段制定规则创建策略 ¨ 审计策略可以定义审计事件的名称、分类、级别以及命中后是否继续匹配其余审计策略 ¨ 提供预置审计策略模板,包括:Windows主机类审计策略模板、Linux/Unix主机类审计策略模板、防火墙类审计策略模板、扫描器类审计策略模板、IDS/IPS类审计策略模板、防病毒类审计策略模板、数据库系统类审计策略模板、萨班斯审计策略模版、等级保护审计模板等 ¨ 内置网站攻击、主机异常、账号异常、暴力破解、漏洞利用、权限异常等至少10种安全分析场景,内置关联规则至少400条 ¨ 支持关联规则自定义设置功能,支持类型包括过滤规则、统计规则、序列规则、模式规则、多源日志关联和机器学习 ¨ 支持跨设备的多事件关联分析,若日志满足系统内置或用户定义的关联规则,将产生关联事件 ¨ 关联事件管理可以统一监控事件的命中情况,包括来源的设备、事件类型、最近命中时间以及命中总次数等 ¨ 支持接收来自下级日志采集器转发的日志、安全事件和告警事件进行二次分析、关联 ¨ 支持自定义数据字典,系统可从各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段,内置映射字段至少达到1000个 ¨ 支持活动列表,可动态维持数据之间的关系映射,如账号与审计人员、IP与审计人员、是否是上班时间等 ¨ 支持地理信息映射,根据其所选IP字段,映射到国家、省份、城市、安全域等 |
|
流量审计 |
¨ 支持对镜像流量的审计,审计内容包括mysql、pgsql、mongodb、redis、人大金仓、http等数据库和流量审计 |
|
日志检索 |
¨ 支持对解析后日志、安全事件、告警事件、原始日志等的查询 ¨ 支持日志查询普通模式,可通过关键字等方式查询 ¨ 支持日志查询高级模式,可通过多关键字、模糊、正则表达式等方式组合查询 ¨ 支持将查询结果进行保存、导出 ¨ 支持查询条件保存为查询模版,用于后续快捷调用 |
|
统计报表 |
¨ 支持生成综合报表、数据报表和统计报表 ¨ 支持导出PDF、WORD、EXCEL、CSV报告 ¨ 内置事件统计策略和图表,支持自定义事件统计策略和图表 |
|
告警管理 |
¨ 系统内置丰富审计类和关联类告警策略,并灵活支持自定义策略 ¨ 对于告警的处理主要包括忽略、处理 ¨ 具备告警合并和在一个时间段内抑制报警次数的能力 ¨ 可指定告警接收人员 ¨ 告警方式包括短信、邮件、钉钉等 |
|
知识库 |
¨ 内置知识文章、事故案例、安全级别要求、典型日志事件介绍、日志审计配置指导等。并支持自定义创建增加知识库内容 |
|
系统管理 |
¨ 支持系统参数配置,包括自定义磁盘、CPU、内存等百分比告警阈值 ¨ 支持系统基本配置,包括修改主机名称、网络接口IP、路由等,内置抓包、PING、端口测试等工具 ¨ 支持设置日志存储备份策略,包括系统日志保存期(容量/天)、磁盘使用率百分比等 ¨ 支持日志文件远程备份到外置存储节点,支持FTP、NFS、ISCSI、SMB等存储方式 ¨ 支持数据容错,支持将错误日志重新入库 ¨ 日志接收队列大小可配置,可存储因超过最大接收性能而未入库的日志 ¨ 支持集群管理,支持审计中心、日志采集器的策略配置及下发 ¨ 支持个性化管理,用户可自定义新的平台名称、导航栏名称、LOGO标识等 |
|
用户管理 |
¨ 用户支持三权分立设计模型 ,支持自定义权限角色 ¨ 支持连续登录失败锁定用户,支持自定义失败次数、锁定时间、用户登录后超时时间 ¨ 支持管理员访问控制,可设置指定IP、网段允许或拒绝管理员登录 ¨ 支持自定义密码强度设置,可自定义用户密码强度要求,密码复杂度、长度 ¨ 支持多因子认证,认证方式可为邮件、短信 |
|
部署要求 |
¨ 支持集中和分布式部署、集群部署、热扩容 ¨ 系统全面支持IPV4/IPV6 ¨ 采用B/S架构操作方式,无需安装客户端软件 ¨ 采用旁路接入模式,设备部署不影响原有网络结构 |
