華康日志審計分析系統的核心能力就是對審計數據源的日志采集。對于審計人員而言,采集日志面臨的挑戰是:審計數據源分散、日志類型多樣、日志量大。為此,華康日志審計分析系統采用多種技術手段,充分適應用戶實際網絡環境的運行情況,采集用戶網絡中分散在各個位置的各種廠商、各種類型的海量日志。同時,通過針對鏈路和資產(網絡設備、安全設備、主機、應用及數據庫)不間斷的連接檢查和完整性檢查,可確保平臺接收到所有數據,并對傳輸鏈的各個環節進行監控,消除無關數據,合并重復的資產日志,確保資產數據的全面收集。
華康日志審計分析系統對收集的各種日志進行范式化處理,將各種不同表達方式的日志轉換成統一的描述形式。審計人員不必再去熟悉不同廠商不同的日志信息,從而大大提升審計工作效率。與此同時,華康日志審計分析系統將原始日志都原封不動的保存了下來,以備調查取證之用。審計員也可以直接對原始日志進行模糊查詢。
華康日志審計分析系統能夠實現全維度、跨設備、細粒度關聯分析,內置眾多的關聯規則,支持網絡安全攻防檢測、合規性檢測,客戶可輕松實現各資產間的關聯分析,根據已知的情景作出預防響應,防患于未然。
華康日志審計分析系統可以對安全域中的所有資產進行脆弱性監視,方便用戶隨時掌握各資產的脆弱性狀態,通過實時掃描或者第三方導入報告進行風險三維關聯分析。
配置核查目的是保障業務系統的安全,為了避免人為疏忽或錯誤,或使用默認的安全配置,給業務系統安全造成風險。采取必要的配置核查措施,使業務系統達到相對的安全指標要求。華康日志審計分析系統可對資產進行安全配置核查,對不符合安全性配置及時作出預警和改進建議。
華康日志審計分析系統內置知識文章、安全專家、事故案例、漏洞庫、病毒庫、補丁庫、安全級別要求、等級保護、應急預案等九大類知識類別,超過20000條知識,同時支持自行導入導出并可不斷更新。
在信息管理層、生產管理層和過程控制層部署日志審計,通過收集并分析系統日志等數據,從而發現違反安全策略的行為。安全審計主要側重于事后分析,即當發生安全事故或者發生違反安全策略的行為之后,通過檢查、分析、比較審計系統收集的數據,從中發現違反安全策略的行為。
主要技術規格:
采集配置:在接入各類日志和事件前,指定需要采集的目標、接入方式以及相關參數(如數據庫的各種連接參數)、選擇標準化的腳本和過濾及歸并策略;
標準化:根據指定的標準化腳本,對相應日志或事件進行標準字段的映射;
過濾和歸并:過濾和歸并的目的均是為了壓縮整體日志數量,而且利用過濾策略,用戶也可以將指定的日志轉發至需要的地方或對日志信息的相關屬性進行重新賦值;
事件分析和審計管理:事件分析和審計管理是日志審計系統的核心分析部分,它不僅可以綜合考量各種日志之間可能存在的關系,而且能夠對日志中相關要素進行分析;最終,事件分析和審計管理的結果均以告警的形式出現在系統中;查詢和檢索:系統提供基礎、高級和基于搜索表達式的方式對原始事件進行不同維度的查詢和檢索;
報表管理:系統提供豐富的報表,以滿足用戶不同的要求;
資產管理:與普通的日志審計系統不同,日志審計系統提供資產管理模塊,以方便用戶對被管對象的管理;
知識庫管理:系統提供日志發送配置(即如何對各種系統進行配置,以便正常采集日志)、安全事件知識、安全經驗,對日志審計提供相應的支撐。