日志审计(CT-LA Log Audit)通过主被动结合的方式,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储(可根据日志规模大小进行分布式存储,支持水平弹性扩展和数据高可靠性存储)、索引、备份、全文检索、实时搜索、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
采用大数据技术架构和分布式集群化存储,高效率收集、处理、分析和检测海量历史数据。
全面高效
日志生命周期管理,协助客户解决网络中日志分散、种类繁多、数量巨大的问题,提升安全运营效率。
安全运维
识别性能故障、不当、违规、攻击行为,协助运维人员进行安全监视、审计追踪、调查取证、应急处置、生成报告。
顺应等保
充分考虑了国家制定的信息系统等级保护制度中对于安全审计的技术要求,帮助客户更好地遵从等级保护的审计要求。
日志采集
日志审计类产品的一项核心能力就是对审计数据源的日志采集。
对于用户而言,采集日志面临的最大挑战就是:审计数据源分散、日志类型多样、日志量大。
为此,系统综合采用多种技术手段,充分适应用户实际网络环境的运行情况,支持通过多种协议方式采集用户网络中分散在各个位置的各种厂商、各种类型的海量日志。
视图展示
全局监视仪表板,可展示不同设备类型、不同安全区域的实时日志流曲线、统计图,以及网络整体运行态势、待处理告警信息等。
用户可以自定义仪表板,按需设计仪表板显示的内容和布局,可以为不同角色的用户建立不同维度的仪表板,进行事件调查、钻取,事件行为分析和来源定位,进行安全事件统计分析,并以柱图、饼图、堆积图等形式进行可视化的展示。
日志范化
系统对收集的各种日志进行范式化处理,将各种不同表达方式的日志转换成统一的描述形式。
除此之外系统还提供多个备用字段,供高级日志审计人员分析时使用,字段数量超过六十余个,并且可以根据安全审计员的需要进行数量扩展,提供更强大的日志描述信息,使范式化后的日志详尽而易读,更能满足复杂的多维度统计分析和审计要求。
事件分析
系统在安全审计员进行日常审计时,可将审计过程中选择的条件组合保存为策略,用户可以通过丰富的事件分析策略对全网的安全事件进行全方位、多视角、大跨度、细粒度的实时监测、统计分析、查询、调查、追溯、地图定位、可视化分析展示等等。
混合检索
系统提供的混合检索技术属于交互式分析技术,不仅提供了基于范式化后的格式数据内容的实时关联分析和统计报表,同时还提供强大的全文搜索能力。
混合式检索技术包括通过对范化后的字段值进行全部日志记录的搜索,查询出包含搜索值的所有的日志记录,并分行显示。
应用场景
满足等保要求
适用场景
我国网络安全法第二十一条 (三)中规定应采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月,等级保护要求中也对日志审计、存储做了有关规定,各企业为符合合规性要求,需具备日志审计系统。
日志统一监管
适用场景
大中型企业往往设备较多,采用日志审计可将所有设备的日志统一监管,对系统性能故障、非法访问、非法或不当操作、恶意代码、攻击入侵等行为做监测。
日志关联
适用场景
在企业的网络系统中,大范围分布的网络设备、安全设备、服务器等实时产生的日志量非常大,要从其中提取想要的信息非常困难,需要从设备之间的关联来判断设备故障。
