网络安全设备小知识:日志审计系统
2022-09-07 09:22:47
日志审计系统小知识
日志审计系统是一种重要的网络安全设备,它通过全面收集企业中的各种设备(如安全设备、网络设备、数据库、服务器、应用系统、主机等)所产生的日志,并进行存储、审计、分析,以识别发现潜在的安全事件与风险。以下是关于日志审计系统的详细知识介绍:
一、日志审计的定义
日志审计是指对企业软件系统中各类设备产生的日志(包括运行、告警、操作、消息、状态等)进行全面收集、存储、审计和分析的过程。这一过程旨在识别潜在的安全事件与安全风险,是数据安全领域的重要组成部分。
二、使用日志审计的原因
满足法律法规要求:
国家的政策法规、行业标准等都对日志审计提出了明确要求。
如《中华人民共和国网络安全法》规定需留存相关网络日志不少于六个月。
《网络安全等级保护基本要求》也规定了需要对网络、主机、应用安全三部分进行日志审计。
满足系统安全管理需求:
日志审计能够帮助用户更好地监控和保障信息系统运行。
及时识别针对信息系统的入侵攻击、内部违规等信息。
为安全事件的事后分析、调查取证提供必要的信息。
三、日志审计的核心流程
日志审计通常包含以下四个核心流程:
日志采集:
全面支持Syslog、SNMP等日志协议,覆盖主流安全设备、主机及应用。
保障日志信息的全面收集。
日志解析:
接收主机、安全设备、应用及数据库的日志。
通过预置的解析规则实现日志的解析、过滤及聚合。
关联分析:
支持全维度、跨设备、细粒度的关联分析。
内置众多关联规则,支持网络安全攻防检测、合规性检测。
数据检索:
实现高性能的海量事件存储和检索优化功能。
提供高速的事件检索能力、事后的合规性统计分析处理。
四、日志审计的基本功能
日志监控:
提供对采集器、采集器资产的实时状态监控。
支持查看CPU、磁盘、内存等使用情况。
日志采集:
支持全面的日志采集能力,包括网络安全设备、网络设备、数据库等。
提供多种数据源管理功能和日志采集方式。
日志存储:
提供原始日志、范式化日志的存储。
可自定义存储周期,支持多种存储扩展方式。
日志检索:
提供丰富灵活的日志查询方式。
支持全文、key-value、多kv布尔组合等检索方式。
日志解析:
提供便捷的日志分析操作,支持对日志进行分组、分组查询等。
日志转发:
支持原始日志、范式化日志的转发。
日志事件告警:
内置丰富的单源、多源事件关联分析规则。
支持自定义事件规则,可设置告警等级等。
日志报表管理:
支持丰富的内置报表和自定义报表模式。
支持实时报表、定时报表等方式。
五、日志审计的部署方式
日志审计系统一般采用旁路部署方式,无需更改现有网络,直接接入到用户指定的交换机上即可。支持单机部署和分布式部署:
- 旁路单台部署:无需更改网络结构,直接接入交换机。
- 旁路分布式部署:集中管理,分散解析、关联分析,集中存储、查询。
六、日志审计的应用场景
日志审计通常会运用在以下三个场景:
账号异常操作识别:
通过采集系统日志,识别账号的异常操作行为。
如账号访问信息与备案数据不一致时进行告警。
IP异常行为识别:
通过采集应用系统日志,识别异常IP的异常行为。
如同一IP频繁访问敏感数据接口时进行告警。
主机异常操作行为识别:
通过采集主机操作日志,识别主机上的异常操作行为。
如在非变更窗口出现变更操作指令时进行告警。
七、日志审计的应用效果
- 安全合规:满足内外部监管要求,提升合规管理能力。
- 安全赋能:24小时全面监控业务运行与系统安全情况,识别潜在安全风险。
- 常态审计:提升日志审计效率,支撑常态化审计工作的开展。
- 降本增效:快速接入不同类型日志,自定义配置审计规则,降低审计准入门槛和运维成本。
综上所述,日志审计系统在企业网络安全中发挥着至关重要的作用。通过全面收集、存储、审计和分析各类设备产生的日志,企业能够更好地监控和保障信息系统运行,及时发现并应对潜在的安全风险。
热门标签
