产品概述
银科数安日志审计分析系统
银科数安日志审计分析系统通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
银科数安日志审计分析系统致力打造一站式解决日志数据的采集、清洗、存储、搜索、分析、告警、可视化等需求,并使用机器学习、AI智能算法,快速预测和定位故障,实时掌握业务运行健康度,提升企业IT智能运营水平。
产品特点
数据接入更全面
支持日志通过Http、Syslog、Snmptrap、Tcp、Vflow、WMI、FTP、SFTP、SSH、TELNET、SCP、LEA、FILE、WebService、Agent方式接入日志审计平台,并内置市场主流厂商规则集。
日志存储更灵活
多种日志存储方式满足不同的日志存储需求。
日志解析更智能
内置MLib 等库,采用机器学习、 EBA 基线分析、关联分析等技术实现智能化日志解析识别,提高日志解析准确率。
关联分析更精准
关联模型支持基于事件时序性关联、基于事件因果关系关联、基于安全日志关联,对解析规则的合理性给出智能推荐;基于日志源脆弱性关联
产品功能
日志资产管理
按照日志资产重要程度和管理域的方式组织日志资产,提供便捷的添加、修改、删除、查询与统计功能,支持日志资产信息的批量导入和导出,便于安全管理和系统管理人员能方便地查找所需日志资产的信息,并对资产进行关键度赋值。
日志采集
支持对各类网络设备、安全设备、操作系统、数据库、应用系统的日志、事件、告警信息进行全面的日志采集。处理的结果分享给网内其它控制中心和终端,以提高全网的安全防护能力,完成对一次攻击及其报警的闭环防御流程。
日志信息解析
接收到的原始日志信息,经过解析规则的模式匹配,提取出直接信息和非直接信息,最终就得到了解析后的通用事件。日志信息解析模块启动的时候,需要首先进行规则库的加载,加载各种日志格式的解析、映射定义。加载完成后,才能进行日志的解析处理。
日志信息标准化
完成解析后的通用事件,可以根据规则库,进行标准化处理。 标准化主要是对解析后的日志,根据标准化的通用事件格式,对各个标准化字段,进行信息的直接映射、非直接映射处理。
聚合处理
采集器为了减少重复日志事件的数量,会在处理流程中,通过设定一个聚合周期、聚合规则,对于在聚合周期内,所有满足聚合规则的事件,进行聚合处理,得到聚合事件。 聚合事件中的事件计数字段,会记录本次聚合的源事件的数量。聚合处理不会影响后续关联分析等处理。
状态检测处理
为了实现状态检测处理,需要维护每个资产的状态信息。当收到设备的原始日志后,会更新此设备的事件计数、最后活跃时间等信息。当状态检测周期到达后,采集器会把每个设备的状态信息组装成心跳事件,上送给上层设备。
关联引擎的功能
关联引擎从接收到的通用事件中,基于关联规则,发现关联事件。 关联事件包括各个原始事件列表。 关联引擎产生的关联事件,能够支持入库接口,进行持久化处理。 关联引擎支持自定义的关联规则,支持规则的启用、禁用。
日志备份归档
支持按照日志存储周期进行备份,当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志,并进行告警;手动备份和恢复时,可以显示恢复和备份的进度。
典型应用
1 、单机部署
- 适用于小型企业网络环境:
- 无需更改现有网络结构。
- 日志接入不影响当前业务。
- 日志接入采用 syslog、SNMP、JDBC/ODBC 等标准协议/接口。
- 支持采集代理 Agent 接。
2 、分级部署
- 大型电信级网络环境;
- 集中管理,所有配置管理统一入库;
- 日志事件分散解析、关联分析,集中存储、查询;
- 管理中心集中存储解析、关联分析后的核心关键数据,降低数据中心压力。
