在信息管理層、生產(chǎn)管理層和過程控制層部署日志審計(jì)����,通過收集并分析系統(tǒng)日志等數(shù)據(jù),從而發(fā)現(xiàn)違反安全策略的行為����。安全審計(jì)主要側(cè)重于事后分析,即當(dāng)發(fā)生安全事故或者發(fā)生違反安全策略的行為之后����,通過檢查、分析��、比較審計(jì)系統(tǒng)收集的數(shù)據(jù)�,從中發(fā)現(xiàn)違反安全策略的行為。
主要技術(shù)規(guī)格:
采集配置:在接入各類日志和事件前��,指定需要采集的目標(biāo)、接入方式以及相關(guān)參數(shù)(如數(shù)據(jù)庫的各種連接參數(shù))����、選擇標(biāo)準(zhǔn)化的腳本和過濾及歸并策略;
標(biāo)準(zhǔn)化:根據(jù)指定的標(biāo)準(zhǔn)化腳本���,對相應(yīng)日志或事件進(jìn)行標(biāo)準(zhǔn)字段的映射����;
過濾和歸并:過濾和歸并的目的均是為了壓縮整體日志數(shù)量�����,而且利用過濾策略�����,用戶也可以將指定的日志轉(zhuǎn)發(fā)至需要的地方或?qū)θ罩拘畔⒌南嚓P(guān)屬性進(jìn)行重新賦值�;
事件分析和審計(jì)管理:事件分析和審計(jì)管理是日志審計(jì)系統(tǒng)的核心分析部分,它不僅可以綜合考量各種日志之間可能存在的關(guān)系�,而且能夠?qū)θ罩局邢嚓P(guān)要素進(jìn)行分析;最終��,事件分析和審計(jì)管理的結(jié)果均以告警的形式出現(xiàn)在系統(tǒng)中�;查詢和檢索:系統(tǒng)提供基礎(chǔ)、高級和基于搜索表達(dá)式的方式對原始事件進(jìn)行不同維度的查詢和檢索����;
報(bào)表管理:系統(tǒng)提供豐富的報(bào)表,以滿足用戶不同的要求��;
資產(chǎn)管理:與普通的日志審計(jì)系統(tǒng)不同�����,日志審計(jì)系統(tǒng)提供資產(chǎn)管理模塊�,以方便用戶對被管對象的管理;
知識庫管理:系統(tǒng)提供日志發(fā)送配置(即如何對各種系統(tǒng)進(jìn)行配置�,以便正常采集日志)、安全事件知識����、安全經(jīng)驗(yàn),對日志審計(jì)提供相應(yīng)的支撐��。
京公網(wǎng)安備11010802042889號