PRODUCTS & SERVICES
產(chǎn)品及服務(wù)
日志審計分析平臺
產(chǎn)品概述:
?
云涌日志審計分析平臺,具有日志采集、審計分析、事件查詢、報表生成、設(shè)備監(jiān)控、日志數(shù)據(jù)備份六項主要安全功能,是一款智能的全網(wǎng)日志采集、分析、審計與安全威脅監(jiān)測產(chǎn)品。
云涌日志審計分析平臺以大數(shù)據(jù)、機器學習技術(shù)為核心,快速全面的收集各類主機、數(shù)據(jù)庫、安全設(shè)備、中間件以及業(yè)務(wù)系統(tǒng)等的日志信息,并進行日志全量存儲、高級分析,及時有效的發(fā)現(xiàn)異常行為和安全事件,滿足用戶高效運維、安全分析及合規(guī)審計的需求。采集方式支持Syslog、數(shù)據(jù)庫等。
?
產(chǎn)品架構(gòu)包括:數(shù)據(jù)源、采集層、計算層、業(yè)務(wù)層、展示層。
¨???? 數(shù)據(jù)源 ?
數(shù)據(jù)源是指采集的日志對象,包括各類型的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、服務(wù)器、應(yīng)用系統(tǒng)、中間件等能產(chǎn)生相關(guān)日志的設(shè)備和信息系統(tǒng)。
¨? ? 采集層
日志采集層利用Syslog、SNMP trap、WMI、FTP 、agent或流量鏡像等方式進行日志采集,從數(shù)據(jù)源獲取日志數(shù)據(jù),并根據(jù)規(guī)則進行過濾、歸并,同時把采集過來的非結(jié)構(gòu)化的數(shù)據(jù)轉(zhuǎn)換成結(jié)構(gòu)化的數(shù)據(jù)。同時基于行為、狀態(tài)等進行機器學習,提供給計算層分析。
¨? ? 計算層
當業(yè)務(wù)層需要使用到采集到的數(shù)據(jù)時,由計算層對采集到的數(shù)據(jù)進行提取、分析、統(tǒng)計。如產(chǎn)生安全事件告警時,由計算層提取數(shù)據(jù),匹配業(yè)務(wù)層配置的安全策略進行分析,當判斷有高危事件時,匹配業(yè)務(wù)層配置的告警訂閱進行對應(yīng)處理觸發(fā)相應(yīng)告警動作。
¨? ? 業(yè)務(wù)層
包括資產(chǎn)管理、日志源管理、日志檢索、安全策略、統(tǒng)計報表等一系列用戶實際使用業(yè)務(wù),用戶通過不同業(yè)務(wù)功能對系統(tǒng)進行不同的管理操作。
¨? ? 展示層
包括首頁綜合展示、檢索查詢結(jié)果、報表、統(tǒng)計圖表等最終展示效果。
系統(tǒng)架構(gòu)如下圖所示:
產(chǎn)品特點:
?
安全合規(guī)
國家主管部門越來越重視網(wǎng)絡(luò)安全建設(shè),陸續(xù)出臺了《中華人民共和國網(wǎng)絡(luò)安全法》、等級保護、分級保護等法律法規(guī)。各行業(yè)隨著網(wǎng)絡(luò)應(yīng)用比重加大,制定了行業(yè)標準和規(guī)范。系統(tǒng)優(yōu)先保障存儲網(wǎng)絡(luò)日志6個月滿足各項要求,同時內(nèi)置基于等保合規(guī)性要求的分析及報表,可以提供用戶開展合規(guī)性建設(shè)工作的技術(shù)支撐。用戶通過豐富的合規(guī)分析對全網(wǎng)的安全事件進行全方位、多視角、細粒度的監(jiān)測、查詢、統(tǒng)計、分析,動態(tài)掌握網(wǎng)絡(luò)的合規(guī)情況。通過系統(tǒng)對海量日志的采集、存儲、分析能力,完全滿足合規(guī)性要求。
提升全網(wǎng)安全性
云涌日志審計分析平臺能夠?qū)崿F(xiàn)全維度、跨設(shè)備、細粒度關(guān)聯(lián)分析,內(nèi)置眾多的關(guān)聯(lián)規(guī)則,支持網(wǎng)絡(luò)安全攻防檢測、合規(guī)性檢測、脆弱性監(jiān)視,客戶可輕松實現(xiàn)各資產(chǎn)間的關(guān)聯(lián)分析,根據(jù)已知的情景作出預(yù)防響應(yīng),防患于未然。
提高IT運維效率
云涌日志審計分析平臺實時采集并監(jiān)控分析主機、數(shù)據(jù)庫等日志及指標數(shù)據(jù),洞察 IT 基礎(chǔ)架構(gòu)和業(yè)務(wù)服務(wù)運行狀況;基于機器學習的智能化運維管理,快速定位系統(tǒng)故障,增強故障分析及處置能力,提高自動化運維管理效率。
產(chǎn)品功能列表:
?
功能模塊 |
功能描述 |
審計儀表盤 |
¨??? 支持自定義儀表盤,可在一個儀表盤中選擇多個對應(yīng)的微件,可涵蓋日志中的所有字段,儀表盤具有全屏監(jiān)控功能 ¨???? 儀表盤中可直接導入事件統(tǒng)計中的各類圖表 ¨???? 支持實時監(jiān)控,支持配置實時監(jiān)控策略 ¨???? 支持創(chuàng)建多個儀表盤 |
資產(chǎn)管理 |
¨??? 支持資產(chǎn)主動發(fā)現(xiàn)。通過對網(wǎng)絡(luò)進行資產(chǎn)掃描,可將發(fā)現(xiàn)的IP對象轉(zhuǎn)資產(chǎn)或刪除 ¨??? 支持資產(chǎn)被動發(fā)現(xiàn)。可將網(wǎng)絡(luò)劃分成多個安全域,系統(tǒng)能自動發(fā)現(xiàn)安全域中的IP對象,并可以轉(zhuǎn)資產(chǎn)或刪除 ¨??? 支持添加、修改、刪除資產(chǎn);支持對資產(chǎn)的基本屬性進行維護,并可以增加自定義屬性 ¨??? 支持拓撲自動發(fā)現(xiàn),可手動添加拓撲,并能夠展示整體安全、事件分布、告警分布等 ¨??? 支持資產(chǎn)自定義分級分組、標簽 ¨??? 支持在一個資產(chǎn)下添加多個日志源(日志采集的對象) ¨??? 支持資產(chǎn)性能監(jiān)控,如監(jiān)控CPU、內(nèi)存、磁盤使用率等資產(chǎn)指標 ¨??? 支持資產(chǎn)地圖,可查看資產(chǎn)整體安全狀態(tài)、性能指標信息以及關(guān)聯(lián)日志源的日志信息 |
日志采集 |
¨??? 支持采集的對象包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)、虛擬機等 ¨??? 支持主動、被動相結(jié)合的數(shù)據(jù)采集方式,支持通過Agent采集日志數(shù)據(jù),支持通過Syslog、SNMP Trap、HTTP、TCP、telnet、JDBC、WMI、文件、Kafka等方式采集日志 ¨??? 支持日志標準化解析(范式化、歸一化),將不同格式日志解析為多個字段,自動識別系統(tǒng)類型至少達到200種 ¨??? 支持日志自定義解析,系統(tǒng)自帶圖形化工具,可通過GROK、分隔符、JSON、XML、時間等自定義解析規(guī)則 ¨??? 支持解析規(guī)則的批量導入/導出 ¨??? 支持日志源的自動發(fā)現(xiàn),根據(jù)接收到的日志自動識別并創(chuàng)建日志源 ¨??? 支持日志源的自定義分級分組 ¨??? 支持不同設(shè)備相同IP的日志識別 ¨??? 支持自定義日志過濾策略,支持全局過濾、局部過濾,可選擇對單個或多個日志源進行日志過濾 ¨??? 日志過濾支持字段過濾與指定時段過濾 ¨??? 支持對單個/多個日志源批量轉(zhuǎn)發(fā),支持定時轉(zhuǎn)發(fā),可通過Syslog、TCP和Kafka方式轉(zhuǎn)發(fā)到第三方平臺,并且支持轉(zhuǎn)發(fā)原始日志和已解析日志 |
日志分析 |
¨??? 系統(tǒng)內(nèi)置審計策略,內(nèi)置審計策略至少600條 ¨??? 支持自定義審計策略 ¨??? 支持從審計策略模板直接創(chuàng)建策略,并可通過事件的任意字段制定規(guī)則創(chuàng)建策略 ¨??? 審計策略可以定義審計事件的名稱、分類、級別以及命中后是否繼續(xù)匹配其余審計策略 ¨??? 提供預(yù)置審計策略模板,包括:Windows主機類審計策略模板、Linux/Unix主機類審計策略模板、防火墻類審計策略模板、掃描器類審計策略模板、IDS/IPS類審計策略模板、防病毒類審計策略模板、數(shù)據(jù)庫系統(tǒng)類審計策略模板、薩班斯審計策略模版、等級保護審計模板等 ¨??? 內(nèi)置網(wǎng)站攻擊、主機異常、賬號異常、暴力破解、漏洞利用、權(quán)限異常等至少10種安全分析場景,內(nèi)置關(guān)聯(lián)規(guī)則至少400條 ¨??? 支持關(guān)聯(lián)規(guī)則自定義設(shè)置功能,支持類型包括過濾規(guī)則、統(tǒng)計規(guī)則、序列規(guī)則、模式規(guī)則、多源日志關(guān)聯(lián)和機器學習 ¨??? 支持跨設(shè)備的多事件關(guān)聯(lián)分析,若日志滿足系統(tǒng)內(nèi)置或用戶定義的關(guān)聯(lián)規(guī)則,將產(chǎn)生關(guān)聯(lián)事件 ¨??? 關(guān)聯(lián)事件管理可以統(tǒng)一監(jiān)控事件的命中情況,包括來源的設(shè)備、事件類型、最近命中時間以及命中總次數(shù)等 ¨??? 支持接收來自下級日志采集器轉(zhuǎn)發(fā)的日志、安全事件和告警事件進行二次分析、關(guān)聯(lián) ¨??? 支持自定義數(shù)據(jù)字典,系統(tǒng)可從各類日志、事件中抽取相關(guān)片段準確和完整地映射至安全事件的標準字段,內(nèi)置映射字段至少達到1000個 ¨??? 支持活動列表,可動態(tài)維持數(shù)據(jù)之間的關(guān)系映射,如賬號與審計人員、IP與審計人員、是否是上班時間等 ¨??? 支持地理信息映射,根據(jù)其所選IP字段,映射到國家、省份、城市、安全域等 |
流量審計 |
¨??? 支持對鏡像流量的審計,審計內(nèi)容包括mysql、pgsql、mongodb、redis、人大金倉、http等數(shù)據(jù)庫和流量審計 |
日志檢索 |
¨??? 支持對解析后日志、安全事件、告警事件、原始日志等的查詢 ¨??? 支持日志查詢普通模式,可通過關(guān)鍵字等方式查詢 ¨??? 支持日志查詢高級模式,可通過多關(guān)鍵字、模糊、正則表達式等方式組合查詢 ¨??? 支持將查詢結(jié)果進行保存、導出 ¨??? 支持查詢條件保存為查詢模版,用于后續(xù)快捷調(diào)用 |
統(tǒng)計報表 |
¨??? 支持生成綜合報表、數(shù)據(jù)報表和統(tǒng)計報表 ¨??? 支持導出PDF、WORD、EXCEL、CSV報告 ¨??? 內(nèi)置事件統(tǒng)計策略和圖表,支持自定義事件統(tǒng)計策略和圖表 |
告警管理 |
¨??? 系統(tǒng)內(nèi)置豐富審計類和關(guān)聯(lián)類告警策略,并靈活支持自定義策略 ¨??? 對于告警的處理主要包括忽略、處理 ¨??? 具備告警合并和在一個時間段內(nèi)抑制報警次數(shù)的能力 ¨??? 可指定告警接收人員 ¨??? 告警方式包括短信、郵件、釘釘?shù)?/p> |
知識庫 |
¨??? 內(nèi)置知識文章、事故案例、安全級別要求、典型日志事件介紹、日志審計配置指導等。并支持自定義創(chuàng)建增加知識庫內(nèi)容 |
系統(tǒng)管理 |
¨??? 支持系統(tǒng)參數(shù)配置,包括自定義磁盤、CPU、內(nèi)存等百分比告警閾值 ¨??? 支持系統(tǒng)基本配置,包括修改主機名稱、網(wǎng)絡(luò)接口IP、路由等,內(nèi)置抓包、PING、端口測試等工具 ¨??? 支持設(shè)置日志存儲備份策略,包括系統(tǒng)日志保存期(容量/天)、磁盤使用率百分比等 ¨??? 支持日志文件遠程備份到外置存儲節(jié)點,支持FTP、NFS、ISCSI、SMB等存儲方式 ¨??? 支持數(shù)據(jù)容錯,支持將錯誤日志重新入庫 ¨??? 日志接收隊列大小可配置,可存儲因超過最大接收性能而未入庫的日志 ¨??? 支持集群管理,支持審計中心、日志采集器的策略配置及下發(fā) ¨??? 支持個性化管理,用戶可自定義新的平臺名稱、導航欄名稱、LOGO標識等 |
用戶管理 |
¨??? 用戶支持三權(quán)分立設(shè)計模型 ,支持自定義權(quán)限角色 ¨??? 支持連續(xù)登錄失敗鎖定用戶,支持自定義失敗次數(shù)、鎖定時間、用戶登錄后超時時間 ¨??? 支持管理員訪問控制,可設(shè)置指定IP、網(wǎng)段允許或拒絕管理員登錄 ¨??? 支持自定義密碼強度設(shè)置,可自定義用戶密碼強度要求,密碼復雜度、長度 ¨??? 支持多因子認證,認證方式可為郵件、短信 |
部署要求 |
¨??? 支持集中和分布式部署、集群部署、熱擴容 ¨??? 系統(tǒng)全面支持IPV4/IPV6 ¨??? 采用B/S架構(gòu)操作方式,無需安裝客戶端軟件 ¨??? 采用旁路接入模式,設(shè)備部署不影響原有網(wǎng)絡(luò)結(jié)構(gòu) |
應(yīng)用場景
產(chǎn)品及服務(wù)
新聞中心
關(guān)于云涌
聯(lián)系信息
總部地址:
江蘇省泰州市海陵區(qū)泰安路16號
電話號碼:
0523-86083877