在信息管理層、生產(chǎn)管理層和過程控制層部署日志審計�,通過收集并分析系統(tǒng)日志等數(shù)據(jù),從而發(fā)現(xiàn)違反安全策略的行為�。安全審計主要側(cè)重于事后分析,即當發(fā)生安全事故或者發(fā)生違反安全策略的行為之后�,通過檢查、分析��、比較審計系統(tǒng)收集的數(shù)據(jù)�����,從中發(fā)現(xiàn)違反安全策略的行為�。
主要技術(shù)規(guī)格:
采集配置:在接入各類日志和事件前,指定需要采集的目標�����、接入方式以及相關(guān)參數(shù)(如數(shù)據(jù)庫的各種連接參數(shù))��、選擇標準化的腳本和過濾及歸并策略����;
標準化:根據(jù)指定的標準化腳本,對相應(yīng)日志或事件進行標準字段的映射�����;
過濾和歸并:過濾和歸并的目的均是為了壓縮整體日志數(shù)量����,而且利用過濾策略,用戶也可以將指定的日志轉(zhuǎn)發(fā)至需要的地方或?qū)θ罩拘畔⒌南嚓P(guān)屬性進行重新賦值��;
事件分析和審計管理:事件分析和審計管理是日志審計系統(tǒng)的核心分析部分,它不僅可以綜合考量各種日志之間可能存在的關(guān)系�����,而且能夠?qū)θ罩局邢嚓P(guān)要素進行分析�����;最終�,事件分析和審計管理的結(jié)果均以告警的形式出現(xiàn)在系統(tǒng)中;查詢和檢索:系統(tǒng)提供基礎(chǔ)����、高級和基于搜索表達式的方式對原始事件進行不同維度的查詢和檢索;
報表管理:系統(tǒng)提供豐富的報表���,以滿足用戶不同的要求����;
資產(chǎn)管理:與普通的日志審計系統(tǒng)不同���,日志審計系統(tǒng)提供資產(chǎn)管理模塊����,以方便用戶對被管對象的管理;
知識庫管理:系統(tǒng)提供日志發(fā)送配置(即如何對各種系統(tǒng)進行配置�,以便正常采集日志)、安全事件知識�、安全經(jīng)驗���,對日志審計提供相應(yīng)的支撐��。
京公網(wǎng)安備11010802042889號