東華日志審計分析系統(簡稱DHLAS)提供了對整個信息系統中的各類日志進行集中采集、集中管理、集中審計的能力。 DHLAS能夠實時采集企業和組織中各種不同廠商的安全設備、網絡設備、主機、操作系統、以及各種應用系統產生的日志、事件、報警等信息,并將數據信息匯集到展示平臺,進行集中存儲、展現、查詢和審計。它適用于對日志管理要求較高的政府機關、運營商、金融機構及一些大中型企業。
(1)采集方式
支持主動、被動相結合的數據采集方式;
支持通過Agent采集日志數據,Agent支持采集日志監控、文件監控、流量包監控數據。
(2)設備類型
支持對市場主流的安全設備、網絡設備、中間件、服務器、數據庫、操作系統等設備的日志數據采集。
(3)采集協議
支持Syslog、SNMP、JDBC、WMI、FTP、文件等標準協議的數據采集;
支持日志轉發。
(4)數據過濾
支持在Web端配置日志過濾規則;
支持在Agent采集時,控制采集時間、過濾級別。
(1)支持網絡協議流量解析,包括:ICMP、DNS、HTTP、FTP、POP、SMTP、MySQL、PgSQL、TNS、Redis、Cassandra、MongoDB、Sybase等。
(2)支持日志的格式標準化處理,將不同設備所產生的不同格式的難以理解的日志數據進行統一格式化處理,提煉出有用的信息以便清晰、明確的展示給管理者。
(1)支持數據本地集中存儲、本地離線備份存儲、FTP離線存儲、網絡存儲。
(2)支持海量數據加密存儲,防止攻擊者篡改或清除日志。
(3)支持存儲空間圖像化、動態監控,超過閥值進行告警。
(4)支持數據自動、手動備份以及備份數據恢復查看。
(1)支持對日志源的查看、添加、編輯、刪除以及啟\禁用的操作。
(2)支持手動添加資產、導入資產、導出資產。
(3)支持根據日志接收情況,自動添加設備IP為日志源資產。
(4)支持為資產指定名稱、IP地址、設備類別、設備類型、業務類型、采集器線程、以及日志源啟停狀態等屬性信息。
(1)系統狀態
支持實時告警數、資產總數、日志事件總數、系統健康狀況的顯示。
支持下鉆查看詳情以及告警彈框、聲音提醒。
支持全屏顯示系統主要工作狀態與安全狀態。
(2)日志統計
提供TOP10資產事件趨勢、事件EPS趨勢;告警信息能以統計餅狀圖、趨勢圖、儀表盤等方式展示。
(3)負載狀態
支持實時顯示日志采集速度、CPU、內存、存儲等系統負載。
(1)告警管理
支持在告警信息頁面,點擊統計圖,以環形圖式對告警類型進行統計。
支持根據時間范圍、級別、規則類型、告警全文關鍵字等方式快速檢索安全事件告警,檢索結果支持Excel等格式導出。
(2)告警響應
支持郵件、聲音、syslog等多種告警方式。
支持在全局顯示告警提醒。
可以針對不同類型、不同種類以及不同安全級別的安全事件制定不同的告警方式。
(1)支持實時日志查看,默認提供最近15分鐘的最新日志信息。
(2)支持多條件組合查詢以及原始日志全文檢索。
(3)支持等于、大于、小于、正則表達式等查詢條件。
(4)支持短語查詢、字段值精確查詢、通配符檢索。
(5)支持搜索條件保存、讀取和刪除。
(6)通過日志柱狀趨勢圖,可以查看指定時間段的日志數量。
(7)支持豐富的過濾條件:設備IP、來源IP、目的MAC、來源端口、目的端口、目的地址IPV6、源MAC、源地址IPV6、操作用戶、目的IP、事件名稱、域名、事件級別、應用名稱、請求信息、服務名稱、錯誤信息、響應信息、資源類型、錯誤碼、接收字節、數據庫表名、狀態碼、協議、發送字節、請求方式等。
(1)實時展示合規分析圖表,如:等級保護、SOX、ISO27001、PCI等。
(2)提供按照全網概況、操作系統分析、安全設備分析、網絡設備分析、數據庫分析、Web應用分析、連接關系、事件關系、網絡流量等進行分類的分析圖表組。
(3)分析圖提供多樣式的圖表展示,如:柱狀圖、餅狀圖、堆疊圖、折線圖、散點圖、桑基圖等。
(4)支持自定義圖表和圖表組。
(5)支持自動生成主機訪問關系圖譜,關系圖譜支持無限級延伸。
(6)支持點擊業務主機節點自動繪制訪問關系。
(7)支持關系圖譜搜索、過濾。
(8)支持自定義關系節點圖標。
(9)支持基于節點下鉆,查看日志信息,查看和拓展該點關系圖等。
9、系統管理
(1)支持用戶按角色管理,支持三權分立。
(2)支持安全策略限制非法用戶訪問系統。
(3)系統具有防惡意暴力破解賬號與口令功能。
(4)支持組件狀態查看監控。
DHLAS系統可將收集到的原始日志完整保存,并進行全文索引。可為各種安全事件的事后分析、取證提供依據,也可為調查取證和交互式分析所用。
DHLAS可根據不同的業務場景,幫助企業和組織從不同層面為用戶帶來價值回報。
(1)安全管理員、安全分析員、安全運維人員:
明確工作職責,各類安全管理人員各司其職,協同合作;
提高工作效率,更加快速準確的識別安全告警、發現違規行為,進行應急響應;
發生安全問題,事后調查有據可循。
(2)安全負責人、負責安全的高管:
有助于建立一套可行的安全策略的執行方針,并通過DHLAS真正落實;
通過持續有效的安全事件分析識別安全事故、策略沖突、欺詐行為和操作行為;
通過安全事件分析,有助于進行審計和取證分析以支持內部調查,以及進行安全運行趨勢預測,確保企業和組織的業務的持續性和可靠性;
將資產產生的日志與操作行為統一存儲,符合企業和組織的需要,符合國家和行業的法律法規要求;
自動產生各種分析報表和報告,隨時掌控整個企業和組織的安全狀況。
(3)企業和組織的領導層:
可以全局掌握企業和組織的安全總體狀況,為領導層進行安全建設決策提供依據;
從整體上提升了企業和組織的安全防護水平;
通過對DHLAS的投資,發揮出原有各種安全設施投資的潛在價值,從而使得企業和組織的成本效益最大化,降低總成本,提升安全設施的投資回報率。
通過使用DHLAS,客戶能夠實現從各種IT資產操作行為的產生、采集、綜合分析與審計、數據存儲與備份的審計日志全生命周期管理。通過集中化的日志管理系統,協助客戶解決網絡中日志分散、種類繁多、數量巨大的問題,提升安全運營效率。
通過使用DHLAS,客戶能夠統一收集來自網絡中IT資產的日志信息,通過分析日志中的安全事件,識別各類性能故障、非法訪問控制、不當操作、惡意代碼、攻擊入侵,以及違規與信息泄露等行為,協助安全運維人員進行安全監視、審計追蹤、調查取證、應急處置、生成各類報表報告,成為客戶日常安全運維的有力工具。
(1)等級保護審計要求
DHLAS在設計之初就充分考慮了國家制定的信息系統等級保護制度中對于安全審計的技術要求,系統能夠幫助客戶更好地滿足等級保護的審計要求。
(2)合規與內控審計要求
針對上市公司、大中型企業(尤其是央企)、銀行、證券、保險等組織與行業,國家和各行主管部門發布了大量的內控與合規的管理標準、規范及規定,都對IT信息系統的安全審計提出了要求。