10

日志审计系统的基本原理与部署方式

 2 years ago
source link: https://cshihong.github.io/2020/06/16/%E6%97%A5%E5%BF%97%E5%AE%A1%E8%AE%A1%E7%B3%BB%E7%BB%9F%E7%9A%84%E5%9F%BA%E6%9C%AC%E5%8E%9F%E7%90%86%E4%B8%8E%E9%83%A8%E7%BD%B2%E6%96%B9%E5%BC%8F/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

日志审计系统简介

什么是日志审计?

综合日志审计平台,通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。

通过日志审计系统,企业管理员随时了解整个IT系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统可以帮助管理员进行故障快速定位,并提供客观依据进行追查和恢复。[百度百科]

为什么需要日志审计平台?

  1. 日志审计的合规要求,由于网络安全法的颁布实施,由原先的不合规转变成了不合法。如果不对要求的相关日志不做留存6个月以上,一旦追查,将面临法律责任。
  2. 安全运营的挑战。随着网络设备的增多,以及服务器数量的增多,如果没有统一的综合日志审计平台,那么需要登录到每台设备上查看日志,不利于运维人员管理。而且众多设备会产生海量的日志,无法有效管理。多种设备形成信息孤岛,日志无法关联分析。通过统一的日志审计平台,将所有设备日志都收集到日志平台进行统一管理,统一分析。

日志审计的核心目标:

  • 多源数据归一化
  • 日志存储集中化
  • 关联分析自动化
  • 安全态势立体化

日志审计的主要功能

设计思路:

统一日志采集:

  • 对不同日志源 (主机系统、网络设备、安全设备、应用中间件、数据库等)所产生的日志进行收集,实现日志的集中管理和存储。支持解析任意格式、任意来源的日志,通过解析规则标准化。
  • 使用无代理的方式收集日志。
  • 支持代理方式的日志收集。

关联分析:

  • 预置多种事件关联规则。
  • 定位外部威胁、黑客攻击、内部违规操作,设备异常。
  • 简单灵活定义关联规则。

实时告警:

  • 通过邮件、短信、声音对发生的告警进行及时通知,并可通过接口调用自动运行程序或脚本。
  • 通过告警策略定义,对各类风险 和事件进行及时告警或预警,提升运维效率。

日志取证分析:

  • 深入分析原始日志事件,快速定位问题的根本原因。
  • 生成取证报表,例如攻击威胁报表、Windows/Linux系统审计报表以及合规性审计报表等。

监管合规:

  • 提供Windows审计、Linux审计、PCI、SOX、ISO27001等合规性报表。
  • 支持创建自定义合规性报表

日志审计系统产品功能结构:

产品功能

图:日志审计系统产品功能结构

日志审计系统的主要工作原理是,通过日志采集器,各种设备将日志推送到日志审计平台,然后日志审计平台通过日志解析,日志过滤,日志聚合等进行关联分析,从而进行告警,统计报表,也可以进行资产管理,日志检索等。

日志的转发方式:

日志转发一般可以通过:Syslog转发,Kafka转发,http转发。

日志收集一般支持:Syslog、SNMP等日志协议。

日志审计系统常见模块:

  • 日志事件获取模块:安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息,以及安全产品的安全事件报警信息等,及时发现正在和已经发生的安全事件,通过响应模块采取措施,保证网络和业务系统的安全、可靠运行。

  • 资产管理模块:资产管理实现对网络安全管理平台所管辖的设备和系统对象的管理。它将其所辖IP设备资产信息按其重要程度分类登记入库,并为其他安全管理模块提供信息接口。

  • 规则库模块:规则库已支持主流网络设备、主机系统、数据库系统等,而且还应涵盖已经部署的安全系统,包括防火墙系统、防病毒系统等。并提供新日志格式适配功能,支持从安全运营中心平台接收新日志解析映射规则配置。用户可以根据该适配功能,对新日志格式进行自行适配。

  • 统计报表功能:具备强大的统计功能,可快速生成多种专业化的报表并支持自定义图表的设定集展示。

  • 权限管理模块:超级管理员可根据用户角色分配平台查看、操作各模块的权限,用户可以访问而且只能访问自己被授权的资源

日志审计平台的部署方式

硬件产品部署方式:

一般日志审计系统采用旁路部署即可,只要到达全部设备网络可通即可。

支持单机部署和分布式部署。

参考资料:

https://baike.baidu.com/item/%E7%BB%BC%E5%90%88%E6%97%A5%E5%BF%97%E5%AE%A1%E8%AE%A1%E5%B9%B3%E5%8F%B0/4839703?fr=aladdin

https://www.venustech.com.cn/article/type/1/221.html
https://www.dbappsecurity.com.cn/show-62-31-1.html

https://blog.51cto.com/lidefu/1390903


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK