欢迎user
00-综合日志审计平台简介
本章节下载: 00-综合日志审计平台简介 (186.20 KB)
综合日志审计平台通过采集全网安全日志数据,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
本文档将详细介绍综合日志审计平台的主要功能以及操作方法,不同的软件版本界面可能存在细微差异,请以实际情况为准。
· 支持各种网络设备、安全设备、主机及应用日志采集。
· 采用主动、被动技术实时采集网络中的异构海量日志。
· 支持海量日志集中存储或分布式存储和全生命周期管理。
· 通过日志范式化和日志分类支持不同厂家日志与系统的快速适配。
· 对一段时间内的多条事件,按照多维度事件关联规则进行综合分析,从整个网络的角度来识别出安全问题或潜在的威胁行为。
· 用户可根据关联规则分析结果识别出发生次数较多的安全事件,有针对性的进行下一步的排查。
· 关联分析事件统计排行榜及趋势都可以导出WORD文档到本地,以便继续分析。
综合日志审计平台通过收集来自企业和组织信息系统资源中各种设备和应用的安全日志,可结合云端的威胁情报,对海量安全日志进行统计分析和关联分析,协助用户准确、快速地识别安全事故,从而及时做出响应。
综合日志审计平台架构可划分为四个层次,数据采集层、数据处理层、数据分析层和业务表示层。
· 数据采集层
主要利用SYSLOG、ODBC、TCP/UDP、FTP等多种协议方式,采集包括网络设备、安全设备、主机、中间件、数据库在内的多种审计数据源的日志。
· 数据处理层
由于不同数据源对网络安全事件的定义通常具有不同的格式,还需要通过范式处理将数据归一化为统一格式,然后进行去除冗余及噪声数据。同时实现对海量安全日志的快速检索。
· 数据分析层
通过统计分析引擎和关联分析引擎,通过融合、归并和关联底层多个安全设备提供的安全日志,并对网络中安全事件进行预警。
· 业务展示层
提供数据接口和安全报表展示统一的态势安全视图,能够快速准确地把握网络当前的安全状态,同时提供API接口及时做出正确的响应。
· 首页:提供全局概览对平台的日志源、日志数、多维度日志统计等进行展示。
· 日志:用于展示平台采集到的所有原始日志信息。
· 事件:提供预定义关联规则,并展示通过关联规则分析出的安全事件的详细信息。
· 报表:通过预定义的报表模板,按照天、周、月的时间维度导出网络安全事件分析统计报表。
· 配置:提供系统基础配置,包括用户权限、系统参数、日志源、采集器及告警策略的配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!