08日志审计介绍.pptxVIP

日志审计CONTENTS01.需求背景02.核心功能03.产品优势05.04.典型案例应用场景PART01需求背景日志审计日志是对信息系统产生的事件的记录通过日志了解信息系统运行情况分析日志检验安全机制的有效性什么是日志审计？01收集日志—存储日志汇总信息—分析日志—挖掘问题—提供报表作用：事前发现问题，提高响应效率。事后追溯问责，源头有迹可循。日志审计的作用01为什么需要日志审计?01《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统，新增明确要求对日志进行集中采集存储；等保2.0，于2019年12月1日正式开始实施，2020年将按照新要求进行等保测评《互联网安全保护措施规定》（公安82号令）《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月第八条要求“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能”2006.32017.62019.12为什么需要日志审计？01日志分散：客户现场设备种类复杂多样，日志分散日志分散格式不统一：日志设备种类多，导致日志格式不统一，增加分析难度格式不统一日志量大：人工运维压力大，交互式分析难度大日志量大关联分析能力差：关联字段少，更缺少对历史数据的关联能力关联分析能力差当前日志审计面临的难题01PART02核心功能核心功能02强大的关联分析引擎基于策略的安全日志分析0405丰富的告警响应方式智能的日志范式活的报表报告高适应性的日志采集0108高性能的日志管理技术架构可视化的日志审计日志审计实时安全监视关联分析日志查询统计报表报表源数据来自于统计事件库，极大提高生成速度多条件、高效的查询性能聚合事件库数据聚合实时事件流压缩/加密存储，压缩比可达20：1海量异构日志采集日志范式化与分类过滤、归并备份/恢复TB级数据在线存储高性能日志管理技术架构-配色02N高适应性的日志采集02支持多种数据源和日志类型支持多种采集协议和采集方式日志采集支持分布式日志采集高适应性的日志采集-支持多种审计数据源02设备类型厂商或产品交换机Cisco、Extreme、Juniper、博科、华为、H3C、神州数码、锐捷路由器Cisco、Extreme、Juniper、华为、H3C、神州数码、锐捷防火墙/UTM/USG启明星辰、网御星云、Cisco、JuniperNetscreen、飞塔、Checkpoint、Nokia、Bluecoat、天融信、东软、方正科技、网御神州、亿阳信通、中科网威、中网、阿姆瑞特、卫士通、H3C、迪普、山石VPN网御星云、天融信、Array、Juniper网闸网御星云、国保金泰、鸿瑞、南瑞IDS/IPS/IDP启明星辰、网御星云、Cisco、McAfee、IBM、Snort、TippingPoint、绿盟、东软、H3C、天融信、安氏、三零盛安、网御神州、理工先河防病毒Symantec、TrendMicro、McAfee、瑞星、金山、江民、冠群金辰Anti-DDoS网御星云、绿盟WAF启明星辰、Imperva、绿盟、中创InfoGuard负载均衡设备F5、信安世纪安全审计系统启明星辰、复旦光华、汉邦、格尔、中软、三零盛安操作系统IBMAIX、HP-UX、MicrosoftWindows、SolarisBSM、Linux及其变种数据库Oracle、SQLServer、DB2、MySQL、Informix、Sybase、国产数据库中间件Weblogic、WebShpere、JBoss、Apache、Tomcat、Domino业务系统各种客户自有的业务系统（需要定制）其它Syslog日志源、SNMPTrap日志源获得日志样本/格式提取日志格式编写日志解析文件日志解析文件XML获悉通讯协议方式导入TSOC-SA配置日志源进行日志采集未知设备类型无需编程，仅需通过写XML解析文件即可采集新设备类型的日志高适应性的日志采集-对审计数据源的扩展机制02被动采集为主主动采集为辅日志代理嵌入采集（如有必要）高适应性的日志采集-支持多种采集协议02SNMPTrap防火墙/UTM防病毒系统SyslogIDSFTPServer网络审计系统/4A终端安全文件共享网络设备ODBCWindows主机WMI*nix主机OPSECLEA数据库私有协议中间件/应用TSOC-SA在双IntelXEON4核CPU，8GB内存，64位操作系统下，采用单一部署模式时，事件处理性能可达平均6000EPS在双IntelXEON4核CPU，8GB内存，64位操作系统下，采用分布式日志采集器部署模式时，事件处理性能可达平均15000EPS在单I