摘要: 当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。 为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、网闸,等...
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。
为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、网闸,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT计算环境及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。尤其是国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。
综上所述,企业和组织迫切需要一个全面的、面向企业和组织IT计算环境的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织计算环境中各种设备和应用的安全日志,并进行存储、监控、分析、报警、响应和报告。
安全日志审计——企业全网综合安全审计解决之道
SecFox-LAS(Log Audit System)日志安全审计系统作为一个统一日志监控与审计平台,能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。
SecFox-LAS能够实时地对采集到的不同类型的信息进行归并和实时分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。
SecFox-LAS能够实时采集NetFlow数据流,对一段时间内的网络流量或者网络连接数进行统计,并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,进而对异常流量和行为进行审计。
SecFox-LAS能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。
SecFox-LAS为客户提供了丰富的报表,使得管理人员能够从各个角度对企业和组织的安全状况进行审计,并自动、定期地产生报表。
SecFox-LAS紧扣信息系统等级保护中对安全审计的技术要求和对安全事件处置的管理要求,提供了一个面向等级保护的审计包。
* 产品亮点:
统一日志监控
SecFox-LAS将企业和组织的IT计算环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对IT计算环境的安全信息(日志)进行统一监控。
借助SecFox-LAS的统一日志监控,用户不必时常在多个控制台软件之间来回切换、浪费宝贵的时间。与此同时,由于企业和组织的所有安全信息都汇聚到一起,使得用户可以全面掌控IT计算环境的安全状况,对安全威胁做出更加准确的判断。
符合等级保护要求的安全审计
在信息系统等级保护的基本技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在信息系统等级保护的管理要求中,安全事件处置控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了监控管理与安全管理中心的控制点要求。
提供了与上述要求相一致的实时审计场景,以及各种面向等级保护的统计报表模板。
日志归并与实时分析
SecFox-LAS收集企业和组织中的所有安全日志和告警信息,在归并后通过智能日志分析引擎,帮助安全管理员实时进行日志分析,迅速识别安全事故,从而及时做出响应。
SecFox-LAS为安全管理员提供了一套强大的实时分析工具。用户可以定义不同的实时分析场景,从不同的观察角度对来自企业和组织各个角落的安全日志进行准实时分析,通过分析引擎对安全日志进行实时分析、统计和趋势分析。
SecFox-LAS为用户内置了大量的实时分析场景,从设备类型、操作系统类型、应用类型、日志等级、性能、协议等不同角度为用户提供了全面监视IT网络安全的工具。
集中日志存储
SecFox-LAS可以将采集来的所有日志、事件和告警信息统一存储起来,建立一个企业和组织的集中日志存储系统,实现了国家标准和法律法规中对于日志存储的强制性要求,降低了日志分散存储的管理成本,提高了日志管理的可靠性,消除了本地日志存储情况下可能被抹掉的危险,也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。
SecFox-LAS具有海量日志接收和存储的能力。在优化的硬件配置下,单个SecFox-LAS系统能够以每秒30000条的规模接收日志,以每秒15000条的规模处理和分析日志,并能够在线存储多达10亿条日志记录,相当于管理约800G的数据量。加上系统的数据归档与离线存储功能,SecFox-LAS能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。借助SecFox-LAS分布式部署的方案,日志存储性能还能提升。
SecFox-LAS在进行数据管理的时候,对数据存储算法进行了充分优化,使得使用小型数据库的情况下就达到了上述性能。此外,用户在使用本系统的时候,无需购买额外的数据库管理系统和许可,也不必花费专门的精力去维护数据库,这些都大大降低了用户的总拥有成本。
SecFox-LAS提供多种日志存储策略,能够方便地进行日志备份和恢复。
趋势分析
SecFox-LAS能够进行日志流量的趋势分析。通过采集NetFlow数据或者防火墙的网络流量日志,对最近一段时间的网络流量或者网络连接数进行统计,并描绘趋势曲线。通过某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,并发现异常流量和行为。
快速响应
SecFox-LAS在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。
SecFox-LAS由于可以综合分析来自防火墙、IDS、系统日志、网络等等一系列的信息,因而能够更为精确地定位安全威胁,使得实时自动阻止攻击变得更加可行。
在发生告警后,SecFox-LAS可以通过电子邮件、SNMP Trap等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。
SecFox-LAS可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。SecFox-LAS可以与众多第三方网络设备、安全设备进行联动。
报表报告
SecFox-LAS生成的报表图文并茂,报表可
以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。
如果您需求日志管理类产品,亦可与网路游侠联系,电话:15339230081(张百川)、QQ:55984512
