日志审计分析平台是一款智能的全网日志分析与流量监测产品。平台以大数据、机器学习技术为核心,快速全面的收集各类网络设备、安全设备、主机服务器、中间件、数据库以及业务系统的日志信息,实时进行安全事件的分析、溯源,协助用户进行安全分析及合规审计,及时有效的发现异常行为和安全事件。
产品特性
全面采集支持Syslog、SNMP Trap、文件、WMI、FTP、数据库、SMB、NetFlow等方式采集。支持200多种设备日志解析,主流设备包括:网络设备、安全设备、操作系统、数据库、应用系统、虚拟化等。
实时分析支持基于规则、统计、情报的分析模型。内置丰富的安全监控场景模板,例如堡垒机绕行审计、异常登录时间审计、异常流量审计等。系统采用流式分析模式,实时分析接入的海量日志,实时挖掘潜在威胁。
深度识别独有的智能协议识别技术,可高速、准确地识别上千种应用,检测各种协议伪装行为;支持HTTP、TLS(含HTTPS)、SMTP、POP3、IMAP、FTP、SMB、SSH、Telnet等协议的3-7层元数据提取、存储、搜索,分析。内置两万多种攻击特征库,可二次挖掘可疑攻击行为。
精准定位系统内置全面的全球地理信息库,准确、高效地定位威胁来源,提供用户实时的全球攻击溯源展现。 亿级(TB)原始日志查询耗时低于1秒,并且支持查询条件的保存,供后续快捷使用;支持更加精确的专家模式查询,根据页面的指导提示,通过组合查询表达式完成精确查询。
威胁情报整合多类威胁情报库,可快速、准确发现已知的、可疑的高级持续威胁的攻击来源,使安全管理人员可以专注于实际风险及关键的威胁信息,把握先机,快速解决问题。
产品规格
| 产品功能 | 功能价值 |
|---|
| 部署 | 支持集中和分布式部署,支持B/S架构操作方式,无需安装客户端软件 |
| 采集对象 | 支持主流安全设备、网络设备、主机服务器、数据库、应用系统等 |
| 日志采集 | 支持Syslog、Syslog-ng 、SNMP Trap、文件、WMI、FTP、数据库等方式采集日志 |
| 日志处理 | 支持在安全事件收集引擎上设置过滤条件,可过滤出无关安全事件,满足实际业务需求;同时支持归并技术,安全事件收集代理会在一段时间内比较收到的安全事件,如果安全事件相同,则只需发送一条安全事件,可以减少安全事件通信量 |
| 日志分析 | 可根据统一的安全策略,按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义;支持基于异常统计模型的检查分析功能等 |
| 关联事件 | 支持日志满足系统内置或用户定义的关联策略时,将产生关联事件;支持关联事件管理统一监控事件的命中情况 |
| 审计事件 | 支持显示审计事件分类统计列表,根据审计策略名称、审计事件类型、被审计人员、目标设备地址四个维度展现 |
| 审计人员 | 支持定义部门和人员的对应关系,定义人员与账号的对应关系 |
| 审计策略 | 支持自定义审计策略,提供可视化方式进行策略制定,支持审计策略定义审计事件的名称、分类、级别以及命中后是否继续匹配其余审计策略 |
| 报表管理 | 支持包括报表内置实例管理和报表任务管理 |
| 知识库管理 | 支持内置日志接入配置指导、典型日志事件介绍、安全经验等。并支持自定义创建增加知识库内容 |
| 用户管理 | 支持根据三权分立的原则和要求进行职、权分离,对平台本身进行分角色定义 |
| 仪表板 | 仪表板内置支持下列内容: 整体安全概况(包括攻击地图展示,事件来源基于地域及组织)、安全资产概况、告警概况、安全事件概况、审计事件概况,支持自定义仪表板 |
| 兼容IPv6 | 支持IPv6网络环境的部署 |
| 拓扑管理 | 支持提供丰富的图元和工具,可自定义编辑拓扑,并可查看拓扑节点的告警信息 |
| 专用软硬件平台** | 采用飞腾CPU、盛科交换芯片的专用硬件平台,软件平台拥有麒麟内核使用授权 |
**此特性仅在特定款型支持
