东华日志审计分析系统(简称DHLAS)提供了对整个信息系统中的各类日志进行集中采集、集中管理、集中审计的能力。 DHLAS能够实时采集企业和组织中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志、事件、报警等信息,并将数据信息汇集到展示平台,进行集中存储、展现、查询和审计。它适用于对日志管理要求较高的政府机关、运营商、金融机构及一些大中型企业。
(1)采集方式
支持主动、被动相结合的数据采集方式;
支持通过Agent采集日志数据,Agent支持采集日志监控、文件监控、流量包监控数据。
(2)设备类型
支持对市场主流的安全设备、网络设备、中间件、服务器、数据库、操作系统等设备的日志数据采集。
(3)采集协议
支持Syslog、SNMP、JDBC、WMI、FTP、文件等标准协议的数据采集;
支持日志转发。
(4)数据过滤
支持在Web端配置日志过滤规则;
支持在Agent采集时,控制采集时间、过滤级别。
(1)支持网络协议流量解析,包括:ICMP、DNS、HTTP、FTP、POP、SMTP、MySQL、PgSQL、TNS、Redis、Cassandra、MongoDB、Sybase等。
(2)支持日志的格式标准化处理,将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理,提炼出有用的信息以便清晰、明确的展示给管理者。
(1)支持数据本地集中存储、本地离线备份存储、FTP离线存储、网络存储。
(2)支持海量数据加密存储,防止攻击者篡改或清除日志。
(3)支持存储空间图像化、动态监控,超过阀值进行告警。
(4)支持数据自动、手动备份以及备份数据恢复查看。
(1)支持对日志源的查看、添加、编辑、删除以及启\禁用的操作。
(2)支持手动添加资产、导入资产、导出资产。
(3)支持根据日志接收情况,自动添加设备IP为日志源资产。
(4)支持为资产指定名称、IP地址、设备类别、设备类型、业务类型、采集器线程、以及日志源启停状态等属性信息。
(1)系统状态
支持实时告警数、资产总数、日志事件总数、系统健康状况的显示。
支持下钻查看详情以及告警弹框、声音提醒。
支持全屏显示系统主要工作状态与安全状态。
(2)日志统计
提供TOP10资产事件趋势、事件EPS趋势;告警信息能以统计饼状图、趋势图、仪表盘等方式展示。
(3)负载状态
支持实时显示日志采集速度、CPU、内存、存储等系统负载。
(1)告警管理
支持在告警信息页面,点击统计图,以环形图式对告警类型进行统计。
支持根据时间范围、级别、规则类型、告警全文关键字等方式快速检索安全事件告警,检索结果支持Excel等格式导出。
(2)告警响应
支持邮件、声音、syslog等多种告警方式。
支持在全局显示告警提醒。
可以针对不同类型、不同种类以及不同安全级别的安全事件制定不同的告警方式。
(1)支持实时日志查看,默认提供最近15分钟的最新日志信息。
(2)支持多条件组合查询以及原始日志全文检索。
(3)支持等于、大于、小于、正则表达式等查询条件。
(4)支持短语查询、字段值精确查询、通配符检索。
(5)支持搜索条件保存、读取和删除。
(6)通过日志柱状趋势图,可以查看指定时间段的日志数量。
(7)支持丰富的过滤条件:设备IP、来源IP、目的MAC、来源端口、目的端口、目的地址IPV6、源MAC、源地址IPV6、操作用户、目的IP、事件名称、域名、事件级别、应用名称、请求信息、服务名称、错误信息、响应信息、资源类型、错误码、接收字节、数据库表名、状态码、协议、发送字节、请求方式等。
(1)实时展示合规分析图表,如:等级保护、SOX、ISO27001、PCI等。
(2)提供按照全网概况、操作系统分析、安全设备分析、网络设备分析、数据库分析、Web应用分析、连接关系、事件关系、网络流量等进行分类的分析图表组。
(3)分析图提供多样式的图表展示,如:柱状图、饼状图、堆叠图、折线图、散点图、桑基图等。
(4)支持自定义图表和图表组。
(5)支持自动生成主机访问关系图谱,关系图谱支持无限级延伸。
(6)支持点击业务主机节点自动绘制访问关系。
(7)支持关系图谱搜索、过滤。
(8)支持自定义关系节点图标。
(9)支持基于节点下钻,查看日志信息,查看和拓展该点关系图等。
9、系统管理
(1)支持用户按角色管理,支持三权分立。
(2)支持安全策略限制非法用户访问系统。
(3)系统具有防恶意暴力破解账号与口令功能。
(4)支持组件状态查看监控。
DHLAS系统可将收集到的原始日志完整保存,并进行全文索引。可为各种安全事件的事后分析、取证提供依据,也可为调查取证和交互式分析所用。
DHLAS可根据不同的业务场景,帮助企业和组织从不同层面为用户带来价值回报。
(1)安全管理员、安全分析员、安全运维人员:
明确工作职责,各类安全管理人员各司其职,协同合作;
提高工作效率,更加快速准确的识别安全告警、发现违规行为,进行应急响应;
发生安全问题,事后调查有据可循。
(2)安全负责人、负责安全的高管:
有助于建立一套可行的安全策略的执行方针,并通过DHLAS真正落实;
通过持续有效的安全事件分析识别安全事故、策略冲突、欺诈行为和操作行为;
通过安全事件分析,有助于进行审计和取证分析以支持内部调查,以及进行安全运行趋势预测,确保企业和组织的业务的持续性和可靠性;
将资产产生的日志与操作行为统一存储,符合企业和组织的需要,符合国家和行业的法律法规要求;
自动产生各种分析报表和报告,随时掌控整个企业和组织的安全状况。
(3)企业和组织的领导层:
可以全局掌握企业和组织的安全总体状况,为领导层进行安全建设决策提供依据;
从整体上提升了企业和组织的安全防护水平;
通过对DHLAS的投资,发挥出原有各种安全设施投资的潜在价值,从而使得企业和组织的成本效益最大化,降低总成本,提升安全设施的投资回报率。
通过使用DHLAS,客户能够实现从各种IT资产操作行为的产生、采集、综合分析与审计、数据存储与备份的审计日志全生命周期管理。通过集中化的日志管理系统,协助客户解决网络中日志分散、种类繁多、数量巨大的问题,提升安全运营效率。
通过使用DHLAS,客户能够统一收集来自网络中IT资产的日志信息,通过分析日志中的安全事件,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告,成为客户日常安全运维的有力工具。
(1)等级保护审计要求
DHLAS在设计之初就充分考虑了国家制定的信息系统等级保护制度中对于安全审计的技术要求,系统能够帮助客户更好地满足等级保护的审计要求。
(2)合规与内控审计要求
针对上市公司、大中型企业(尤其是央企)、银行、证券、保险等组织与行业,国家和各行主管部门发布了大量的内控与合规的管理标准、规范及规定,都对IT信息系统的安全审计提出了要求。
