网络安全设备小知识:日志审计系统
原创网络安全设备小知识:日志审计系统
原创
日志审计是指通过全面收集企业软件系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、审计、分析,识别发现潜在安全事件与安全风险。日志审计同样属于数据安全领域的重要组成部分。
为什么要使用日志审计?
1、满足法律法规要求
国家的政策法规、行业标准等都明确对日志审计提出了要求,日志审计已成为企业满足合规内控要求所必须的一项基本要求。
2017年6月1日起施行的《中华人民共和国网络安全法》中规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
《网络安全等级保护基本要求》(GB∕T 22239-2019)中规定:二到四级需要对网络、主机、应用安全三部分进行日志审计,留存日志需符合法律法规规定。
2、满足系统安全管理需求
当前信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。日志审计能够帮助用户更好监控和保障信息系统运行,及时识别针对信息系统的入侵攻击、内部违规等信息,同时日志审计能够为安全事件的事后分析、调查取证提供必要的信息。
日志审计的核心流程
日志审计通常包含以下四个核心流程:日志采集、日志解析、关联分析、数据检索。日志审计需要能够接入不同类型数据源,对接入数据进行加工分析,并应用流式计算、机器学习等能力提高分析处理的效率与质量。依据审计规则对泛化日志进行识别分析,识别潜在安全风险、安全事件。同时需要将采集的原始日志、处理的泛化日志进行分片存储、分片索引,以此支持海量数据的检索能力。
1、日志采集
全面支持Syslog、SNMP等日志协议,可以覆盖主流安全设备、主机及应用,保障日志信息的全面收集
2、日志解析
可接收主机、安全设备、应用及数据库的日志,并通过预置的解析规则实现日志的解析、过滤及聚合
3、关联分析
支持全维度、跨设备、细粒度的关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析
4、数据检索
通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次
日志审计基本功能
日志监控
提供日志监控能力,支持对采集器、采集器资产的实时状态进行监控,支持查看CPU、磁盘、内存总量及当前使用情况;支持查看资产的概览信息及资产关联的事件分布;
日志采集
提供全面的日志采集能力:支持网络安全设备、网络设备、数据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定义等日志;
提供多种的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理;提供分布式外置采集器、Agent等多种日志采集方式;支持IPv4、IPv6日志采集、分析以及检索查询;
日志存储
提供原始日志、范式化日志的存储,可自定义存储周期,支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式;
日志检索
提供丰富灵活的日志查询方式,支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索;
提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等;
日志解析
提供便捷的日志分析操作,支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志;
日志转发
支持原始日志、范式化日志转发;
日志事件告警
内置丰富的单源、多源事件关联分析规则,支持自定义事件规则,可按照日志、字段布尔逻辑关系等方式自定义规则;支持时间的查询、查询结果统计以及统计结果的展示等;支持对告警规则的自定义,可设置针对事件的各种筛选规则、告警等级等;
日志报表管理
支持丰富的内置报表以及灵活的自定义报表模式,支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容(名称、描述等);支持实时报表、定时报表、周期性任务报表等方式;支持html,pdf,word格式的报表文件以及报表logo的灵活配置;
日志审计部署方式
日志审计系统一般采用旁路部署,要到达全部设备网络可通即可,支持单机部署和分布式部署。
旁路单台部署
无需更改现有网络,直接接入到用户指定的交换机上,网络可通即可。实施设备分为软件安装部署和硬件盒子部署。
旁路分布式部署
集中管理,所有配置管理统一入库;日志事件分散解析、关联分析,集中存储、查询;管理中心集中存储解析、关联分析后的核心关键数据,降低数据中心压力。
日志审计的应用场景
日志审计通常会运用在以下三个场景:
1、账号异常操作识别
通过采集系统日志,对其内容进行分析,识别分析账号的异常操作行为。例如当发现该账号的访问信息与备案的数据资产账号权限报备信息不一致时进行告警;某账号访问了不在其权限范围内的数据资产或试图导出高敏数据时进行告警。
2、IP异常行为识别
通过采集应用系统日志,对其内容进行分析,识别异常IP的异常行为。例如当发现同一IP同一时间段对敏感数据接口访问频次较高时或者请求IP不在权限范围内时进行告警;某IP在某时段内高频访问运营商营业厅的对外账号充值接口时进行告警。
3、主机异常操作行为识别
通过采集主机操作日志,对其内容进行分析,识别在主机上的异常操作行为。例如当发现在非变更窗口出现变更操作指令或者某一IP进行异常变更操作时进行告警。
日志审计的应用效果
1、安全合规
由于相关法律法规要求,日志审计能力能够满足内外部监管要求,助力企业提升合规管理能力。
2、安全赋能
日志审计能力通过24小时全面监控业务运行与系统安全情况,识别潜在安全风险,赋能企业整体安全防线。
3、常态审计
提升了日志审计效率,解决了人工效率低下以及面对海量数据人工无法进行管理的难题,有效支撑了常态化审计工作的开展。
4、降本增效
日志审计能力既能快速接入不同类型日志,又能够自定义配置不同类型审计规则。降低了审计准入门槛,节约了专业运维人员的培养成本。
总结
随着企业设备的逐步增多以及内外部的合规和建设要求,企业日志审计能力建设成为必须。由于不同设备的安全日志分散且不统一,运维人员需要付出大量的时间与精力投入到日志采集与分析中,加重了运维人员的工作负担,因此企业需要提高日志审计效率,把安全问题完全扼杀在摇篮中。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。