泰合TSOC-SA日志审计系统架构介绍
SecFoxLASv30日志审计系统介绍
全面可管理的信息安全体系
安全管家 安全医生 安全顾问
业务层
安全决策
应用层
基础设施层
三个层面
安全分析
安全监控
三个维度
SecFox安全管理解决方案
源于联想 网御神州
15
SecFox安全审计解决方案
SecFox-EPS终端审计
SecFox-NBA(业务审计型)
SecFox-LAS日志审计
SecFox-NBA(上网审计型)
41
[1] 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。 [2] 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。
系统简介:运行环境(硬件型)
硬件型产品不按照日志采集节点数发放许可,不限审计节点数,支持的节点数 仅受限于硬件平台的性能! 大大降低用户的总拥有成本
型号
SecFox-LAS-R1
• 在内存中进行 • 事件归并
• 事件追踪:一查到底、及时发现违规和入侵
– 更加强调审计的闭环:发现问题后要能够处理问题
• 告警 • 联动
11
关于数据库审计
• 可以通过日志审计或者抓包审计的方式去做 • 具体要根据客户需求来定 • 日志审计:SecFox-LAS日志分析与审计系统
– 审计内容和粒度可以很细 – 需要数据库打开日志配置项,对性能有一定影响 – 数据库日志与OS日志、应用系统日志综合分析,进行
SecFox-LAS-R2
规格指标
-1U标准机架式 -采集事件性能超过7000EPS,事件处理性能达到
4500EPS -自带1TB热插拔硬盘,支持Raid,硬盘容量可以扩展 -2U标准机架式,支持冗余电源 -采集事件性能超过30000EPS,事件处理性能达到
日志综合分析与管理解决方案V1.1
泰合中心日志综合分析与管理系统解决方案北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年10月目录1文档管理 (1)1.1文档信息 (1)1.2分发控制 (1)1.3版本控制 (1)2日志管理现状及面临的挑战 (2)2.1日志管理现状 (2)2.2面临的挑战 (2)3日志分析与管理的需求 (3)4方案设计 (3)4.1设计原则 (3)4.2体系结构 (4)4.3系统概述 (4)4.4方案实现功能 (5)4.4.1日志数据源 (6)4.4.2日志集中采集 (7)4.4.3日志存储 (10)4.4.4告警监控 (11)4.4.5基于日志的审计 (11)4.5方案功能特色 (12)4.5.1支持海量数据存储 (12)4.5.2多样化的报表 (12)4.5.3丰富的分析功能 (13)4.5.4支持通用日志采集 (13)4.5.5灵活扩充新设备 (13)4.5.6日志日常维护 (13)4.5.7用户管理 (13)4.5.8系统管理 (14)5实施与部署 (14)6方案成效 (14)1文档管理1.1文档信息1.2分发控制1.3版本控制2日志管理现状及面临的挑战2.1日志管理现状目前大多数企业,特别是大型企业、机构对于异构、海量日志数据没有很好的管理办法,结果往往是:➢日志采集效率低不能完全捕获,数据格式不统一,缺少标准化的技术手段。
➢人员要求高系统管理人员面对浩如烟海的日志信息,首先面临的一个问题是如此浩大的工作量是人工所无法完成的,另外,要求系统管理人员能够理解日志信息的内涵,对管理人员的要求很高。
➢各自为战,缺乏关联性不同的系统管理员分管不同的信息系统,难免出现各自为政的局面,但是事故发生前的一系列事件之间却存在紧密的联系,二者之间的矛盾导致事故难于处理。
➢人力投入高,处理效果差海量日志数据需要系统管理人员手工维护和管理,导致分析时间长,关键时刻很难发现问题。
TSOC-SA泰合信息安全运营中心系统-日志审计系统V3.0.10.1用户手册
首页................................................................................................................................................ 13 2.1 2.2 导航栏.................................................................................................................................... 13 管理面板................................................................................................................................ 13
第 2 页 共 72 页
安全源自未雨绸缪, 诚信贵在风雨同舟
客户服务与技术支持
如果您在使用泰合产品时遇到了问题, 可以通过以下方式反馈给我司的客户 服务部,我们将竭诚为您提供技术支持。 启明星辰公司客户服务部的联系方式如下: 地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦 电话:010-82779160 传真:010-82779151 接收者:服务支持部 网站支持:
3.1.1 3.1.2 3.1.3
3.1.3.1 3.1.3.2 3.1.3.3 3.1.3.4 3.1.3.5 3.1.3.6
资产域........................................................................................................................... 17 资产组........................................................................................................................... 18 资产............................................................................................................................... 19
日志管理综合审计系统-产品介绍
Part 5
产品优势
产品优势
自研海量日志存储系统,千万级别日志量5秒内查询完成 全面的日志采集采集能力,能够采集所有日志类型 内置大量专家级日志规则,日志规则支持自定义配置 嵌入式Linux系统,安全性保障,保护数据安全 良好的扩展性,支持分布式部署,多点采集
日志综合审计系统
Hale Waihona Puke Part 2应用背景
日志管理现状
数量大 种类多
格式乱 分布广
日志种类多
• 网络设备:路由/交换/防火墙; • 主机系统:Unix/Linux/Windows; • 应用系统:OA/CRM/ERP/Web; • 数据库:Oracle/Mssql/Sybase;
日志数量大
• 单台防火墙的日志达百万/天; • 管理的日志源头至少成百上千;
安全审计
c)
d)
e) f)
应用安全
a)
7.1.4.3:
b)
第三级基本要求/技术要求/应用安全/ 安全审计
c)
d)
条款 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 应能够根据记录数据进行分析,并生成审计报表; 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
综合报表分析报告
自定义报表,统计分析日志信息 了解运维安全势态,发现安全隐患
Thanks
安全存储
日志统一集中安全存储, 防止日志被 删与丢失
部署方式
Part 4
功能介绍
产品架构
采集中心
实时分析引擎
告警
SecFox-LASv3.0日志审计系统介绍
交换机/路由器
操作日志 设备状态日志设备故障日志、设 备性能日志
入侵告警日志 系统规则库升级日志
入侵检测系统
防病毒系统
Unix操作系统 (含Solaris, HP-UX, Linux, AIX等) 防火墙、VPN
病毒日志、攻击日志 防病毒系统配置变更日志 病毒扫描日志 病毒库升级日志
发送一个事件到服务台系 例如发送给HP Service Desk,或者BMC 统
29
整体审计报表
自动生成周报、月报、季报,并自动投递报表给管理员
30
符合等级保护要求的安全审计
• 在信息系统等级保护基本技术要求中,从 第二级开始,针对网络安全、主机安全、 应用安全都有明确的安全审计控制点 • 在等保的管理要求中,“安全事件处置” 控制点从第二级开始要求对日志和告警事 件进行存储 • 在等保的管理要求中,从第三级开始提出 了“监控管理与安全管理中心”的控制点 要求
2
当前面临的挑战
监控和审计界面过多、手忙脚乱!
3
当前面临的挑战
无法迅速定位问题点
4
当前面临的挑战
国家和行业法律法规都有安全审计的要求!
《信息系统安全等级化保护基本要求》二级以上
《ISO27001:2005 》4.3.3小节
《商业银行内部控制指引》第一百二十六条 《银行业金融机构信息系统风险管理指引》第四十六条 《证券公司内部控制指引》第一百一十七条 《互联网安全保护技术措施规定》第八条 《萨班斯(SOX)法案》第404款
账户日志 QQ使用日志、MSN使用日志 常见网络病毒、常见网络游戏 常见P2P下载日志 FTP登录和注销日志 Telnet登录和注销日志 IIS日志 Apache日志 Syslog日志 Snmp trap日志 Netflow日志 22
泰合安全管理平台(TSOC)
行业 电信领 域
客户名称
广东省电信公司 中国移动通信集团新疆有限公司 中国移动通信集团河南有限公司 湖南电信 江西移动 中国联通有限公司广东分公司 青海移动 中国电信股份有限公司昆明分公司 河北移动通信有限责任公司 中国电信股份有限公司四川分公司 中国移动通信集团设计院有限公司 中国航天科技某研究院 中国兵器工业集团公司 中国船舶工业综合技术经济研究院 西安航空发动机集团有限公司
工单管理
16
安全预警
人工预警
– – 发布一条漏洞预警 分析漏洞的影响
事件预警
– – 基于已发生的事件 推测潜在威胁
17
运行状态监控
18
设备控制管理
基于设备类型的脚本控制 支持批量操作 事件自动触发控制响应
19
用户管理
基于角色的访问控制管理(Role-Based Access Control) 三权分立的管理体制 – 细分用户的资源访问权限和功能操作权 限 – 不同用户的帐号和口令加密存放 内置三个帐户 – 用户管理系统管理员(UserAdmin) – 审计管理员(AuditAdmin) – 权限管理员 (SmcAdmin)
泰合安全管理平台(TSOC) 架构及功能
1
TSOC平台构成
概述 平台架构
TSOC主要功能
主要模块 各模块功能介绍
2
TSOC系统概述
泰合安全管理平台,是为解决各安全产品间的协作问题而建立起来的一个信息 交换、信息存储、信息处理平台,通过该平台,可以对各安全产品进行控制管 理。
泰合安全管理平台由用户管理、事件管理和安全管理中心三部分组成。
–
–
漏洞关联分析是判断系 统收集到的事件所对应 的漏洞编号或端口与系 统中存在的资产的漏洞 编号或端口号是否符合 ,如果符合就触发关联 事件。 进一步降低系统的误报 率。
日志审计解决方案
日志审计解决方案一、背景介绍随着信息技术的发展和应用的普及,各类企业和组织面临着日益增长的数据量和复杂的信息系统环境。
为了确保信息系统的安全性和合规性,日志审计成为了一项重要的任务。
日志审计可以帮助企业和组织监控和分析其信息系统的活动记录,以发现潜在的安全威胁、追踪异常行为、满足合规要求以及支持事后调查等。
二、日志审计的意义1. 安全威胁检测:通过对日志进行审计,可以发现并及时应对潜在的安全威胁,如未经授权的访问、异常登录行为等。
2. 异常行为追踪:日志审计可以记录和分析用户的操作行为,帮助企业和组织追踪和识别异常行为,如非法操作、数据篡改等。
3. 合规性要求满足:许多行业和法规要求企业和组织对其信息系统进行日志审计,以确保其合规性,如金融行业的PCI DSS、医疗行业的HIPAA等。
4. 事后调查支持:当发生安全事件或违规行为时,日志审计可以提供关键的证据和线索,帮助进行事后调查和取证。
三、日志审计解决方案的关键组成部分1. 日志收集:通过在关键系统和设备上部署日志收集器,实时收集和存储系统产生的日志数据。
收集的日志数据可以包括操作系统日志、应用程序日志、网络设备日志等。
2. 日志存储:将收集到的日志数据存储在安全可靠的存储介质上,确保其完整性和可审计性。
可以采用传统的关系型数据库或专门的日志管理系统进行存储。
3. 日志分析:对存储的日志数据进行分析和挖掘,以发现异常行为和安全威胁。
可以使用各种分析工具和技术,如规则引擎、机器学习算法等。
4. 报告和告警:根据分析结果生成详细的报告和告警,以便管理员和安全团队及时了解系统的安全状况和发现潜在的威胁。
5. 审计日志管理:对日志数据进行管理和维护,包括日志的保留期限、备份策略、访问权限控制等,以确保其完整性和可审计性。
6. 可视化和查询:通过直观的可视化界面和强大的查询功能,管理员和安全团队可以方便地查看和分析日志数据,快速定位和解决问题。
四、日志审计解决方案的实施步骤1. 需求分析:与企业和组织的相关部门和人员沟通,了解其日志审计需求和合规要求,明确解决方案的目标和范围。
H3C SecCenter CSAP-SA 综合日志审计技术白皮书(2021-01-11)
H3C综合日志审计平台技术白皮书1.系统简介近年来,国内外相继发生的“棱镜门”、域名系统遭攻击、国外情报机构的网络攻击工具曝光、勒索病毒爆发、大规模用户信息泄漏等问题,以及信息通信诈骗等问题不断给我们敲响警钟。
日志是对网络信息系统在运行过程中产生的事件的记录。
通过日志,信息安全人员可以了解系统的运行状况。
通过对安全相关的日志的分析,信息安全人员可以检验信息系统安全机制的有效性。
日志审计需求主要源自于两个方面的驱动力。
一方面,从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,另一方面,识别来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。
综合日志审计平台的需求H3C 综合日志审计平台能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统等产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
H3C 综合日志审计平台功能2.系统架构H3C 综合日志审计平台通过收集来自企业和组织信息系统资源中各种设备和应用的安全日志,可结合云端的威胁情报,对海量安全日志进行统计分析和关联分析,协助用户准确、快速地识别安全事故,从而及时做出响应。
该架构可划分为四个层次,数据采集层、数据处理层、数据分析层和业务表示层。
(1)数据采集层主要利用SYSLOG、ODBC、TCP/UDP、FTP等多种协议方式,采集包括网络设备、安全设备、主机、中间件、数据库在内的多种审计数据源的日志。
(2)数据处理层由于不同数据源对网络安全事件的定义通常具有不同的格式,还需要通过范式处理将数据归一化为统一格式,然后进行去除冗余及噪声数据。
同时实现对海量安全日志的快速检索。
(3)数据分析层通过统计分析引擎和关联分析引擎,通过融合、归并和关联底层多个安全设备提供的安全日志,并对网络中安全事件进行预警。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Verizon认为:要缓解信息破坏和信息泄露,必须进行日志审计
8
日志审计的必要性
Verizon:2013年数据破坏调查报告
Verizon联合世界18家信息安 全机构进行的一项全球调查
从47000件安全事件中提取并 详细分析了621起数据破坏事 件,涉及4480万笔泄漏的信 息
9
日志审计的必要性
Verizon:2013年数据破坏调查报告 20项关键安全控制措施
诺斯罗普 格鲁曼 CISO 联邦快递 CISO
EBay CIO
SAP CSO
BP C志审计的必要性
RSA :当APT成为主流
The concept is appealing: Use an analytical engine to sift through massive amounts of real-time and historical data at high speeds to develop trending on user and system activity and reveal anomalies that indicate compromise.
Verizon认为:要缓解信息破坏和信息泄露,必须进行日志审计
10
日志审计的必要性
Verizon牵头世界50家信息安 全机构和企业进行的一项全球 调查 Verizon:2014年数据破坏调查报告 从63000多件安全事件中提取 并详细分析了1367起数据破 坏事件 涉及95个国家和地区
11
日志审计的必要性
Verizon:2014年数据破坏调查报告
Verizon认为:要缓解信息破坏和信息泄露,必须进行日志审计
12
日志审计的必要性
RSA的业务安全创新委员会的权威 调查分析报告,囊括了业界领袖的 重要观点 RSA :当APT成为主流
摩根大通 CISO T-Mobile CISO
Nokia CISO
EMC CSO
21
日志审计的必要性:合规性要求
法律法规
《信息系统安全等级 化保护基本要求》 ISO27001:2005 《企业内部控制基本 规范》
《企业内部控制应用 指引》 《商业银行内部控制 指引》
相关条款
《银行业信息科技风 险管理指引》
《证券公司内部控制 指引》 《保险公司信息系统 安全管理指引(试 行) 》 《互联网安全保护技 术措施规定》(公安 部82号令)
报告指出:要防范APT等这类新型威胁和攻击,必须进行主动地 智能监测,其核心就是要收集来自IT架构不同层面的日志/数据, 进行安全日志/数据分析,获得对网络和业务系统的可见性
14
日志审计的必要性
SANS:2011年度日志管理调查报告
采访了747个涵盖大中小规模 的组织,超过89%的受访者都 表示收集了日志,并进行了日 志管理
通过日志可以了解信息系统的运行状况
通过分析信息系统的安全日志可以检验信息系 统安全机制的有效性
日志审计
3
日志审计的作用
最朴素的需求: “一旦出了问题要能够提取相关的日志,为事后调查提供依据”
安全审计通过收集存储网络上所有软 硬件设备产生的日志、审计信息,根 据策略进行存储,为事后取证提供依 据 对所收集的信息进行汇总、分析、报 警,对安全问题进行挖掘,提供各种 报表,帮助管理员更好的掌握网络情 况
1.
2.
3. 4. 5.
在国标GB 17859-1999计算机信息系统安全保护等级划分准则中 有对审计的规定,其中第二级就定义为“系统审计保护级” 《信息系统安全等级化保护基本要求》二级以上
– 包括各行业依照《基本要求》制定的行业等保基本要求
《萨班斯(SOX)法案》第404款 《互联网安全保护技术措施规定》第八条 《企业内部控制基本规范》及其配套《企业内部控制应用指引》第 六条 6. 《银行业金融机构信息系统风险管理指引》第四十六条 7. 《商业银行内部控制指引》第一百二十六条 8. 《银行业信息科技风险管理指引》第二十五、二十六、二十七条 9. 《证券公司内部控制指引》第一百一十七条 10. 《证券期货业信息系统安全等级保护基本要求(试行)》 11. 《保险公司信息系统安全管理指引(试行) 》第三十一、四十三、 四十四条 12. 《ISO27001:2005 》4.3.3小节、 《ISO27002:2005 》10.10小 节
15
日志审计的必要性
收集日志的原因排行
1)监测/跟踪可疑行为 2)取证与关联分析
3)满足合规的需要
16
日志审计的必要性
SANS:2012年度日志管理调查报告
采访了600多位涵盖大中小企 业的专业人士,他们都认为必 须进行日志审计
17
日志审计的必要性
SANS:2012年度日志管理调查报告
检测/追踪来自内部/外部的可疑行为 取证与关联分析 阻止突发安全事件
4
日志审计的必要性
Verizon:2011年数据破坏调查报告
Verizon联合美国特勤局和荷 兰国家高技术犯罪小组进行的 一项全球调查
5
日志审计的必要性
Verizon:2011年数据破坏调查报告
69%的攻击行为实 际上都有日志留存
Verizon认为:要缓解信息破坏和信息泄露,必须进行日志审计
6
日志审计的必要性
收集日志的原因排行
18
日志审计的必要性
SANS:2013年度日志管理调查报告
采访了647位涵盖大中小企业 的专业人士,他们都认为必须 进行日志审计. 探讨了如何做好日志审计
19
日志审计的必要性
SANS:2013年度日志管理调查报告
日志管理平台 SIEM
用什么来收集和分析日志?
20
日志审计的必要性:合规性要求
Verizon:2012年数据破坏调查报告
Verizon联合美国特勤局和荷 兰国家高技术犯罪小组、澳洲 联邦警局、以及爱尔兰、英格 兰的机构进行的一项全球调查
分析了超过855起安全事件, 涉及1.74亿笔泄漏的信息
7
日志审计的必要性
Verizon:2012年数据破坏调查报告
84%的攻击行为实 际上都有日志留存
泰合TSOC-SA日志审计系统介绍
An Executive Overview to TSOC-SA
日志审计需求分析
目录
泰合TSOC-SA日志审计系统介绍 产品特点与价值 功能详述
服务优势
2
从日志到日志审计
日志是对信息系统产生的事件的记录,包括了 构成信息系统的主机、网络、安全设备或系统、 应用等