概述
随着資訊化程序的深入和網際網路的迅速發展,人們的工作、學習和生活方式正在發生巨大變化,效率大為提高,資訊資源得到最大程度的共享。緊随資訊化發展而來的網絡安全問題日漸凸出,如果不能很好地解決這個問題,必将阻礙資訊化發展的程序。由此可見,資訊安全在社會生活的各個方面已受到更為廣泛的關注,其重要性也日益明顯。
随着網際網路和雲計算的發展,公有雲伺服器是人們越來越容易接受的産品,其最普遍受益的一點就是節省成本。企業不必像擁有私有雲那樣去購買,安裝,操作或運維伺服器或是其他裝置。在一個公有雲的服務供應商提供的平台上,企業隻需使用或開發他們自己的應用程式即可。但公有雲的安全問題也是顯而易見的,基于Internet的公有雲服務的特性,全世界隻要能上網的人就可以通路到其雲伺服器,其在雲主機及其雲上的資料受到威脅會更多而且更複雜,資料相對于私有雲處于一個不穩定的狀态。
不管是傳統的資訊化還是未來趨勢的雲計算,都面臨着安全的風險,從安全防護的角度來說,需要一個循序漸進的方式去完善安全體系。一般建設的順序是網絡安全、主機安全、資料安全的順序逐漸完善。對于傳統資訊化,要優先處理網絡安全,但對于雲伺服器來說,網絡安全是提供雲服務的廠家要重點考慮的事情,反而主機安全是要優先考慮的内容了。本産品就是通過對日志的分析來解決主機的安全尤其是通路安全,幫助企業有效的主機的管理和維護。
産品介紹
1、産品簡介
綜合日志審計系統能夠通過主被動結合的手段,實時不間斷地采集使用者網絡中各種不同廠商的安全裝置、網絡裝置、主機、作業系統、以及各種應用系統産生的海量日志資訊,網絡流量的資訊,并将這些資訊彙集到審計中心,進行集中化存儲、備份、查詢、審計、告警、響應,并出具豐富的報表報告,獲悉全網的整體安全運作态勢,實作全生命周期的審計管理。
1、體系結構
綜合日志審計系統産品主要有三大子產品:日志審計、流量審計。每個子產品由三部分組成,一部分是資料采集,一部分是對采集的資料進行線上格式化分析處理、過濾、規則驗證,同時産生告警;一部分是資料存儲系統,把采集分析的内容和規則生成的告警資訊存入資料存儲系統;最後部分是web伺服器,管理者可以通過http方式對日志資訊告警等進行檢視、管理。
l 采集器
采集器主要是對日志、網絡流量進行采集,然後對采集的資料進行線上格式化分析處理,把資料分解成不同的次元,然後對格式化後的資料進行告警分析,産生告警,同時存儲原始資料和格式化後的資料。采集器可以分布式部署,每個采集節點可以采集資料,同時可以存儲資料,這樣就形成了一個采集叢集,可以橫向無限擴充,支援海量資料。
l 資料存儲系統
對采集器采集的資料(格式化、原始)、生成的告警進行存儲,同時存儲這些告警所對應的資料源,系統通過叢集算法可以關聯到采集叢集,同時存儲系統還存儲了賬号,基礎資料等資訊。
l Web伺服器
Web伺服器主要是給管理者操作的入口,主要包括首頁門戶,審計搜尋,告警配置,工單管理,資産管理,系統管理幾部分。
系統架構
采用元件式平台架構,實作了分層的邏輯架構,包括:審計資料源層、資料采集層、業務層和應用層。如下圖所示:
l 審計資料源層
審計對象層是指審計資料源對象,資料源包括各類型的網絡裝置、安全裝置、應用系統、主機等能産生相關日志的裝置和資訊系統;網絡資料流中的原始資料包。日志審計對象須開放接口才可以收集到日志;網絡流量審計資料源包括網絡流量鏡像、資料轉發等,如果審計對象開放的接口是私有協定,系統可以通過定制開發協定的方式進行支援。
l 采集層
在該層日志采集利用Syslog、SnmpTrap、Jdbc、本地檔案、Sftp/Ftp遠端采集檔案、Sniffer、Agent方式進行采集,從審計對象擷取日志,并對原始日志資訊進行範式化、分類、過濾、歸并,統一推送到業務層進行分析、存儲;網絡流量采集利用ntopng抓包網絡鏡像流量方式進行采集,并對原始資料包進行解析、分類、過濾、歸并統一推送到業務層進行存儲。
l 業務層
業務層有日志審計、網絡流量審計,目前日志審計是具備最完善、業務場景最多的子產品,日志審計利用關聯分析引擎對采集的日志進行分析,觸發規則,生成告警記錄;通過高性能海量資料存儲代理将日志進行快速存儲;通過分布式查詢引擎實作日志查詢;通過日志聚合引擎實作日志抽取。
l 應用層
面向系統的使用者,提供一個圖形化的顯示界面,展現安全審計系統的各功能子產品,提供綜合展示、日志審計、告警規則、工單管理、報表元件、資産管理、系統設定等功能。
産品功能
1、綜合展示
使用者登入即可進入綜合展示儀表盤(首頁)。通過盤,能夠快速的導航到各個功能。使用者能夠通過儀表盤從不同的方面對日志進行審計,可以在一個螢幕中看到不同裝置類型、不同安全區域的實時日志流曲線、統計圖,以及網絡整體運作态勢、待處理告警資訊等。使用者可以自定義儀表盤,按需設計儀表闆顯示的内容和布局,可以為不同角色的使用者建立不同次元的儀表闆。
2、 日志審計
系統提供日志審計(搜尋)功能,可以對解析、過濾後的日志審計資料進行搜尋檢視。并支援儲存搜尋、自定義時間以及表格導出。
3、 網絡流量審計
系統提供網絡流量審計功能,對原始資料流中的資料包解析、過濾、統一存儲。并将解析後的五元組資料以報表形式展示。
4、告警規則
系統具備日志關聯分析功能。通過關聯分析規則,系統能夠對符合關聯規則條件的日志産生告警。系統提供了可視化的規則編輯器,使用者可以定義基于邏輯表達式的關聯規則,所有日志字段都可參與關聯。規則支援統計計數功能,可以對達到一定統計數量的日志進行告警。
5、工單管理
系統攜帶工單管理子產品,批量配置設定使用者告警資訊的處理、歸類等。
6、報表元件
系統内置了豐富的報表模闆,包括統計報表、明細報表、綜合審計報告,審計人員可以根據需要生成不同的報表。系統内置報表生成排程器,可以定時自動生成日報、周報、月報、季報、年報,并支援以郵件等方式自動投遞,支援以PDF、Excel、Word等格式導出,支援列印。系統還内置了一套報表編輯器,使用者可以自行設計報表,包括報表的頁面版式、統計内容、顯示風格等。
7、資産管理
系統提供資産管理功能,可以對網絡中的審計資料源資産進行管理。除基本資産資訊外,系統提供靈活的資産分類功能,實作對資産的分類管理。系統提供基于拓撲的資産視圖,可以按圖形化拓撲模式顯示資産,并可編輯資産之間的網絡連接配接關系,通過資産視圖可直接檢視該資産的日志及告警資訊。系統能夠根據收到的日志的裝置位址自動發現新的資産。
8、搜尋查詢
系統提供日志的查詢功能,便于從海量資料中擷取有用的日志資訊。使用者可自定義查詢政策,基于日志時間、名稱、位址、端口、類型等各種條件進行組合查詢,并可導出查詢結果。系統還提供快速查詢和模糊查詢功能。使用者在檢索曆史日志記錄時,系統可以通過多條件相結合的方式進行日志查詢,根據日志的類型、發生時間、不同字段内容等進行精細比對,如:日志源IP、日志發生時間、登入賬号、資訊字段内容等,進而實作日志的快速準确定位。
9、參考知識管理
系統内置日志字典表,記錄了主流裝置和系統的日志ID的原始含義和描述資訊,友善審計人員在進行日志審計的時候進行參考。
10、使用者管理
系統提供三權分立設計,内置系統管理者、使用者管理者和審計管理者。
系統提供使用者集中管理的功能,對使用者可以通路的資源進行細緻的權限劃分,具備安全可靠的分級及分類使用者管理功能,支援使用者的身份認證、授權、使用者密碼修改等功能。不同的操作員具有功能操作權限。
11、系統管理
系統具有豐富的自身配置管理功能,包括自身安全配置、系統運作參數配置、審計資源配置等。系統具有系統自身運作監控與告警、系統日志記錄等功能。
界面展示
首頁
産品特點
綜合日志審計系統不需要在機器上安裝軟體,隻要支援标準syslog、snmp、sftp/ftp、jdbc等标準協定即可采集分析日志,不改變過客戶的原有方式,部署便捷,不會破壞本身的網絡結構,不會影響到原主機性能。采集器支援橫向擴充叢集功能,在不改變現有環境的情況下,非常友善的增加采集節點,并整合到系統中進行協同工作,通過這種橫向叢集方式可以支援海量日志的收集,存儲,分析展示的能力。
綜合志審計系統具有強大的日志分析、網絡流量分析能力,可以支援單條日志的分析,多條日志的組合分析,定時場景的分析,先後條件滿足的分析。通過這些分析能力,能滿足絕大多數使用者分析場景的需求。
綜合日志審計系統整合了全文搜尋Elasticsearch,我們對Elasticsearch進行了優化,并有源碼級的支援能力。Elasticsearch是一個靈活、功能強大的開源、分布式、實時搜尋和分析引擎。從設計之初就考慮了分布式環境,是以它具有天然的可靠性和可擴充性,Elasticsearch使您能夠輕松地的使用全文檢索的功能。通過其強大的、健壯的RESTfulAPI和查詢DSL,支援多種用戶端,如Java、Python、Clojure等。
部署方式
日志審計系統
産品部署分4部分内容,資料源部分,采集器采集部分,資料庫部分和web伺服器部分,第一部分是資料源,支援syslog、snmp、jdbc、sftp/ftp等協定,其餘三部分是本産品的主要部分,這四部分内容可以根據規模大小部署在一台機器或者多台機器上面。