4008916618
产品概述
中安星云日志审计分析系统

中安星云日志审计分析系统(简称:LAS),是一款智能的全网日志采集、分析、审计与安全威胁监测产品,LAS以大数据、机器学习技术为核心,快速全面的收集各类网络设备、安全设备、主机服务器、中间件、数据库以及业务系统等的日志信息,并进行日志全量存储、高级分析,及时有效的发现异常行为和安全事件,满足用户高效运维、安全分析及合规审计的需求。

产品价值
  • 完善的资产与日志源管理能力
    常用的防火墙、IPS、防毒墙等安全设备对于日志审计系统,既是资产同时也是日志源。但是对于一些服务器,服务器上可能部署了多套不通的系统、数据库、应用等,此时资产可能只有具体的一个IP,但是服务器上不同的系统、数据库、应用等可能需要通过不同的端口分别发送日志,此时资产与日志源就不能划等号LAS在资产与日志源的管理上支持一个资产关联多个日志源,使资产与日志源的管理更清晰,更便捷。
  • 提高企业IT运维效率
    Spxlogic LAS实时采集并监控分析资源、系统、应用层日志及指标数据,洞察 IT 基础架构和业务服务运行状况;基于机器学习的智能化运维管理,快速定位系统故障,增强故障分析及处置能力,提高自动化运维管理效率。
  • 提升企业全网安全性
    LAS能够实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测、脆弱性监视,客户可轻松实现各资产间的关联分析,根据已知的情景作出预防响应,防患于未然。
  • 完成网络安全合规建设
    国家主管部门越来越重视网络安全建设,陆续出台了《中华人民共和国网络安全法》、等级保护、分级保护等法律法规。各行业随着网络应用比重加大,制定了行业标准和规范。系统优先保障存储网络日志6个月满足各项要求,同时内置基于等保合规性要求的分析及报表,可以提供用户开展合规性建设工作的技术支撑。用户通过丰富的合规分析对全网的安全事件进行全方位、多视角、细粒度的监测、查询、统计、分析,动态掌握网络的合规情况。通过系统对海量日志的采集、存储、分析能力,完全满足合规性要求。
产品优势
  • 场景化适应性强
    支持硬件、软件部署,软件部署支持虚拟化、容器等场景,支持集中式、分 布式、集群部署,可部署于各类 X86 和信创硬件平台。
  • 智能化程度高
    日志源主动发现能力,上线部署时间平均从 5 小时,可缩短到 2 小时,资产 智能化发现能力,大大减轻运维工作量,日志分析具有机器学习能力,智能发现 隐藏威胁和风险,数据字典、活动列表、地理信息映射等,大大提高系统自动化能力,领先于其它审计产品。
  • 全量、全类日志数据接入
    采集协议全,可接入各种来源、各种类型的日志源,包括已支持 Kafka 接收 /转发,支持图形化自定义解析工具,具有资产性能指标采集和监控能力,可自 定义多个仪表盘,实用性强.
主要功能
  • 告警管理 系统内置丰富审计类和关联类告警策略,并灵活支持自定义策略,对于告警的处理主要包括忽略、处理,具备告警合并和在一个时间段内抑制报警次数的能力可指定告警接收人员告警方式包括短信、邮件、钉钉等。
  • 安全日志检索 可对对解析后日志、安全事件、告警事件、原始日志等的查询,支持日志查询普通模式,可通过关键字等方式查询,支持日志查询高级模式,可通过多关键字、模糊、正则表达式等方式组合查询,支持将查询结果进行保存、导出,支持查询条件保存为查询模版,用于后续快捷调用。
  • 安全模版管理 内置网站攻击、主机异常、账号异常、暴力破解、漏洞利用、权限异常等至少10种安全分析场景,内置关联规则至少400条。支持关联规则自定义设置功能,支持类型包括过滤规则、统计规则、序列规则、模式规则、多源日志关联和机器学习,支持从审计策略模板直接创建策略,并可通过事件的任意字段制定规则创建策略。
  • 审计策略管理 系统内置审计策略,内置审计策略超过600条,支持自定义审计策略,提供预置审计策略模板,包括:Windows主机类审计策略模板、Linux/Unix主机类审计策略模板、防火墙类审计策略模板、扫描器类审计策略模板、IDS/IPS类审计策略模板、防病毒类审计策略模板、数据库系统类审计策略模板、萨班斯审计策略模版、等级保护审计模板等。
  • 日志采集管理 支持采集的对象包括安全设备、网络设备、操作系统、数据库、中间件、应用系统、虚拟机等,支持主动、被动相结合的数据采集方式,支持通过Agent采集日志数据,支持通过Syslog、SNMP Trap、HTTP、TCP、telnet、JDBC、WMI、文件、Kafka等方式采集日志,支持日志标准化解析(范式化、归一化),将不同格式日志解析为多个字段,自动识别系统类型超过200种。
  • 日志源管理 接收方式支持自定义接收端口、自定义编码方式,定义好接收方式后可 以在不同的日志源下进行调用。支持通过 Syslog、FTP、文件\文件夹读取、WMI 、 SNMP Trap、JDBC、TCP 、HTTP、webservice、Kafka 等多种协议/方式进行日志 采集,也支持通过 Agent 进行日志采集,即同时支持被动和主动数据采集。
应用场景

日志审计通过收集存储网络上所有软硬件设备产生的日志、审计信息,根据策略进行存储,为事后取证提供依据,对所收集的信息进行汇总、分析、报警、对安全问题进行挖掘,提供各种报表,帮助管理员更好的掌握网络情况:无需更改现有网络,直接接入到用户指定的交换机上,网络可通即可。实施设备分为软件安装部署和硬件部署。

如下图:

日志审计-场景应用.jpg