日志审计系统的基本原理与部署方式
日志审计系统简介
什么是日志审计?
综合日志审计平台,通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
通过日志审计系统,企业管理员随时了解整个IT系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统可以帮助管理员进行故障快速定位,并提供客观依据进行追查和恢复。[百度百科]
为什么需要日志审计平台?
- 日志审计的合规要求,由于网络安全法的颁布实施,由原先的不合规转变成了不合法。如果不对要求的相关日志不做留存6个月以上,一旦追查,将面临法律责任。
- 安全运营的挑战。随着网络设备的增多,以及服务器数量的增多,如果没有统一的综合日志审计平台,那么需要登录到每台设备上查看日志,不利于运维人员管理。而且众多设备会产生海量的日志,无法有效管理。多种设备形成信息孤岛,日志无法关联分析。通过统一的日志审计平台,将所有设备日志都收集到日志平台进行统一管理,统一分析。
日志审计的核心目标:
- 多源数据归一化
- 日志存储集中化
- 关联分析自动化
- 安全态势立体化
日志审计的主要功能
设计思路:
统一日志采集:
- 对不同日志源 (主机系统、网络设备、安全设备、应用中间件、数据库等)所产生的日志进行收集,实现日志的集中管理和存储。支持解析任意格式、任意来源的日志,通过解析规则标准化。
- 使用无代理的方式收集日志。
- 支持代理方式的日志收集。
关联分析:
- 预置多种事件关联规则。
- 定位外部威胁、黑客攻击、内部违规操作,设备异常。
- 简单灵活定义关联规则。
实时告警:
- 通过邮件、短信、声音对发生的告警进行及时通知,并可通过接口调用自动运行程序或脚本。
- 通过告警策略定义,对各类风险 和事件进行及时告警或预警,提升运维效率。
日志取证分析:
- 深入分析原始日志事件,快速定位问题的根本原因。
- 生成取证报表,例如攻击威胁报表、Windows/Linux系统审计报表以及合规性审计报表等。
监管合规:
- 提供Windows审计、Linux审计、PCI、SOX、ISO27001等合规性报表。
- 支持创建自定义合规性报表
日志审计系统产品功能结构:
日志审计系统的主要工作原理是,通过日志采集器,各种设备将日志推送到日志审计平台,然后日志审计平台通过日志解析,日志过滤,日志聚合等进行关联分析,从而进行告警,统计报表,也可以进行资产管理,日志检索等。
日志的转发方式:
日志转发一般可以通过:Syslog转发,Kafka转发,http转发。
日志收集一般支持:Syslog、SNMP等日志协议。
日志审计系统常见模块:
- 日志事件获取模块:安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息,以及安全产品的安全事件报警信息等,及时发现正在和已经发生的安全事件,通过响应模块采取措施,保证网络和业务系统的安全、可靠运行。
- 资产管理模块:资产管理实现对网络安全管理平台所管辖的设备和系统对象的管理。它将其所辖IP设备资产信息按其重要程度分类登记入库,并为其他安全管理模块提供信息接口。
- 规则库模块:规则库已支持主流网络设备、主机系统、数据库系统等,而且还应涵盖已经部署的安全系统,包括防火墙系统、防病毒系统等。并提供新日志格式适配功能,支持从安全运营中心平台接收新日志解析映射规则配置。用户可以根据该适配功能,对新日志格式进行自行适配。
- 统计报表功能:具备强大的统计功能,可快速生成多种专业化的报表并支持自定义图表的设定集展示。
- 权限管理模块:超级管理员可根据用户角色分配平台查看、操作各模块的权限,用户可以访问而且只能访问自己被授权的资源
日志审计平台的部署方式
硬件产品部署方式:
一般日志审计系统采用旁路部署即可,只要到达全部设备网络可通即可。
支持单机部署和分布式部署。