日志收集与分析系统-信息安全建设
作者日志收集与分析系统 发表日期:2020-10-09 10:26:22 浏览次数:新一代日志收集与分析系统(NGLAS),采用大数据技术和智能分析方法,集日志采集与存储、日志归一化、交互式分析、关联分析、仪表板、报表统计、告警管理等功能于一身,实现政企客户网络中的网络设备、安全设备、操作系统、虚拟化及云、数据库、中间件及应用系统等的日志、警报信息的全面采集、存储、分析和展示,全面满足各个行业及组织对日志的安全合规管理要求和审计分析需求。
1)资产管理:
对IT资产进行分组管理,对资产信息进行增删改查,具备丰富的属性管理功能,为日志分析提供丰富的上下文信息。
2)日志采集:
全面采集各类日志,支持Syslog、SNMP Trap、JDBC、SFTP/FTP、SMB、API、Kafka、文件读取、日志代理方式采集。
3)数据治理:
系统提供强大的数据治理功能,主要包括动态数据建模和数据质量管理,保证日志分析的准确有效性。
4)事件分析:
用户可以通过界面实时查看来自网络中各种IT资源的日志情况。系统内置了大量的分析场景,用户无需学习,即可开展审计操作,也允许用户自定义场景,并对场景进行树型结构的分类和归档。为用户提供卓越的交互式分析能力,支持机器学习、统计分析、可视化分析等多种分析方法。
5)仪表板:
系统提供了灵活自定义的仪表板,同时内置丰富的仪表板主题,通过仪表板,不同角色和不同用户可快速获取到各自所关注的安全信息,满足各自管理需求。
6)关联分析:
系统内置大量关联分析场景,如认证登录、授权行为、违规行为、系统变更、攻击入侵、敏感操作和设备故障等,通过启用这些内置场景,可实时发现网络攻击和违规行为。通过关联分析引擎,用户可以灵活定制关联规则。
7)告警管理:
系统对于发现的安全事件可以进行自动告警,并提供多种响应方式。可对告警进行统计查询和归并抑制。
8)报表管理:
系统提供丰富的报表管理功能,预定义了多种设备事件趋势以及总体报表,满足等保等其他合规性要求。系统提供自定义报表,用户可根据自身需要进行定制。
9)日志备份与恢复:
系统支持按照日志存储周期进行定期备份,并支持在线恢复。外部存储空间备份为日志数据提供高可靠保障。
大数据,秒级完成10TB级的日志数据的搜索
NGLAS基于大数据技术,和高效的算法,使搜索尽可能在内存中完成,同时采用分布式并行技术,大幅提升日志数据存储和查询效率低下的问题,秒级完成10TB级的日志数据的搜索,使人工的日志搜索、调查和取证变为可行。可视化,快速而美观地展现日志处理的结果
NGLAS采用了多种可视化技术,实时展现日志处理结果,将安全管理和运维人员从繁重的事件查看工作中解脱出来,从而发现安全威胁。智能化,日志综合审计更准确、更高效
随着大数据和机器学习技术的不断发展,NGLAS引入了更多智能化的分析方法。首先,NGLAS对数据进行智能化处理,保证了高质量的输入数据,为后续分析打下良好的基础。其次,NGLAS采用了机器学习的方法对海量日志进行分析,基于关联分析引擎并结合威胁情报上下文,实时发现网络中的安全风险。多种智能化分析方法的有机结合可以进行互相补充、实现了实时、历史、交互式、自动化的日志分析,综合审计更准确、更高效。分布式,打破单节点计算资源限制
NGLAS独创性的提供了分布式关联分析的能力,将海量日志的处理分散到集群的计算节点中,并且过弹性扩展计算节点数量来增加关联分析的能力,解决了超大规模网络客户日志关联分析的需求。配合分布式分析和存储,系统提供了分布式的采集器,实现了集群部署和资源调度的自动化、智能化。高弹性,满足弹性部署和资源扩展要求
NGLAS具备灵活的高弹性部署能力,避免了采用开源大数据技术的重量级资源需求。NGLAS支持水平弹性扩展,通过增减集群节点来实现计算资源的增减。系统最资源的占用灵活,既可以部署在物理服务器中,也可以部署在虚拟机和Docker容器中;既支持传统x86架构平台部署,也支持非x86架构国产化平台部署,满足不同客户的需求。开箱即用,大幅降低使用成本
NGLAS大幅提升了系统的开箱即用的能力,大幅降低了日志审计的使用成本和技术要求。NGLAS内置了一系列丰富的日志解析策略、仪表板策略、查询策略、关联分析规则和报表为客户提供了丰富多样的审计场景和安全分析场景,降低了客户对于产品交付和策略研发等方面的成本,使其快速获得使用价值。场景一:合规审计
系统满足网络安全法、等保2.0、分级保护、金融行业监管条例、82号令以及国能安全36号文件等合规性要求,为用户开展合规性建设工作提供技术支撑。通过系统内置的合规性分析策略用户可以对全网的安全事件进行全方位、多视角、细粒度的实时监测、分析、调查、追溯,动态了解系统的整体合规状况和安全态势,通过部署奇安信新一代日志收集与分析系统(NGLAS)满足合规性审计要求。场景二:安全策略审计
针对政企行业客户的明确的安全技术策略规范要求,通过部署奇安信新一代日志收集与分析系统(NGLAS),可以将采集的日志进行综合关联分析,与具体的安全策略要求进行匹配,可实时检测发现违反安全策略的安全事件,进行报警并进行记录,并提供了完整的证据供追溯,从而代替了繁琐的人工审计过程。场景三:攻击与威胁检测
针对当前复杂的安全威胁和攻击,如何有效检测始终是安全管理人员的寻求的重要目标。奇安信新一代日志收集与分析系统(NGLAS)可以通过集中收集的日志发现来自组织内部和外部的多种安全攻击和威胁事件,并关联分析判断攻击是否成功以及造成的影响。针对多种安全场景,奇安信新一代日志收集与分析系统(NGLAS)可以通过对日志的集中关联分析实时发现网络中的多种威胁和攻击行为。场景四:IT运维与故障排查
奇安信新一代日志收集与分析系统(NGLAS)可以帮助用户消除各种妨碍运营的合规性约束,它可以为开发人员及应用系统管理员集中提供所有必须的日志文件以方便分析和排查生产故障,而不需要寻求特定的服务器管理员发送的相应数据资料。因此可以以更少的人力快速解决问题,同时不需要访问生产服务器,这样不但不影响生产运营,而且还能满足组织的对服务器的访问的安全合规审计。场景五:业务统计分析
奇安信新一代日志收集与分析系统(NGLAS)可以帮助企业客户收集和分析业务系统的日志并进行相应的统计分析,助力业务数据分析,挖掘商业价值。支持多种部署方式:单节点部署、级联部署、分布式部署、分布式集群部署等。
单节点部署
级联部署
