华康日志审计分析系统是新一代综合安全事件分析与全局的日志审计系统。该系统采用先进的大数据采集、建模、分析技术,通过对各种网络资源的多维度信息采集和自动化的关联分析,及时发现网络当中的威胁和异常行为,通过与防火墙、入侵防御、终端安全等产品的安全联动,实现对威胁和异常行为的有效处置。系统通过图形化、可视化技术将识别到的各种威胁和异常通过图形化方式直观的展现给用户,有利于用户全面掌握网络总体安全态势,并迅速做出判断和决策。
高适应性日志采集华康日志审计分析系统的核心能力就是对审计数据源的日志采集。对于审计人员而言,采集日志面临的最大挑战就是:审计数据源分散、日志类型多样、日志量大。为此,华康日志审计分析系统采用多种技术手段,充分适应用户实际网络环境的运行情况,采集用户网络中分散在各个位置的各种厂商、各种类型的海量日志。同时,通过针对链路和资产(网络设备、安全设备、主机、应用及数据库)不间断的连接检查和完整性检查,可确保平台接收到所有数据,并对传输链的各个环节进行监控,消除无关数据,合并重复的资产日志,确保资产数据的全面收集。
详尽的日志范式化和日志分类华康日志审计分析系统对收集的各种日志进行范式化处理,将各种不同表达方式的日志转换成统一的描述形式。审计人员不必再去熟悉不同厂商不同的日志信息,从而大大提升审计工作效率。与此同时,华康日志审计分析系统将原始日志都原封不动的保存了下来,以备调查取证之用。审计员也可以直接对原始日志进行模糊查询。
智能关联分析华康日志审计分析系统能够实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析,根据已知的情景作出预防响应,防患于未然。
全面的脆弱性管理华康日志审计分析系统可以对安全域中的所有资产进行脆弱性监视,方便用户随时掌握各资产的脆弱性状态,通过实时扫描或者第三方导入报告进行风险三维关联分析。
强大的配置核查配置核查目的是保障业务系统的安全,为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险。采取必要的配置核查措施,使业务系统达到相对的安全指标要求。华康日志审计分析系统可对资产进行安全配置核查,对不符合安全性配置及时作出预警和改进建议。
丰富的知识库华康日志审计分析系统内置知识文章、安全专家、事故案例、漏洞库、病毒库、补丁库、安全级别要求、等级保护、应急预案等九大类知识类别,超过20000条知识,同时支持自行导入导出并可不断更新。
在信息管理层、生产管理层和过程控制层部署日志审计,通过收集并分析系统日志等数据,从而发现违反安全策略的行为。安全审计主要侧重于事后分析,即当发生安全事故或者发生违反安全策略的行为之后,通过检查、分析、比较审计系统收集的数据,从中发现违反安全策略的行为。
主要技术规格:
采集配置:在接入各类日志和事件前,指定需要采集的目标、接入方式以及相关参数(如数据库的各种连接参数)、选择标准化的脚本和过滤及归并策略;
标准化:根据指定的标准化脚本,对相应日志或事件进行标准字段的映射;
过滤和归并:过滤和归并的目的均是为了压缩整体日志数量,而且利用过滤策略,用户也可以将指定的日志转发至需要的地方或对日志信息的相关属性进行重新赋值;
事件分析和审计管理:事件分析和审计管理是日志审计系统的核心分析部分,它不仅可以综合考量各种日志之间可能存在的关系,而且能够对日志中相关要素进行分析;最终,事件分析和审计管理的结果均以告警的形式出现在系统中;查询和检索:系统提供基础、高级和基于搜索表达式的方式对原始事件进行不同维度的查询和检索;
报表管理:系统提供丰富的报表,以满足用户不同的要求;
资产管理:与普通的日志审计系统不同,日志审计系统提供资产管理模块,以方便用户对被管对象的管理;
知识库管理:系统提供日志发送配置(即如何对各种系统进行配置,以便正常采集日志)、安全事件知识、安全经验,对日志审计提供相应的支撑。
京公网安备11010802042889号