SecFox-LASv30日志审计系统介绍ppt课件

1、SecFox-LAS日志审计系统引见Revision 2SOC事业部Executive Overview of SecFox-LAS Log Analysis and Audit System2目录当前面临的挑战平安审计的开展现状与趋势我们的处理方案协助企业处理什么问题案例分析系统部署和实施方案产品价值和优势.3当前面临的挑战监控和审计界面过多、手忙脚乱！.4当前面临的挑战无法迅速定位问题点.当前面临的挑战5二级以上4.3.3小节第一百二十六条第四十六条第一百一十七条第八条第404款国家和行业法律法规都有平安审计的要求！.6当前面临的挑战网络根底设备和平安根底设备建立根本完成复杂的计算环境计算

2、环境管理的孤岛，各自为政审计本钱居高不下，审计效率难以提升国家法规(等保)、行业规定(内控)的要求SecFox-LAS!.7我们真正需求的是?全网资源的一致监控与审计提供容易运用且单一管理控制台可以对全网的平安情况进展审计提供集中化监控、审计、告警、分析及报表管理功能异常和违规行为追踪降低事件误报率提供可视化的审计手段仅需投入少量资源可以得到最大效益符合国家和行业的审计要求.8目录当前面临的挑战平安审计的开展现状与趋势我们的处理方案协助企业处理什么问题案例分析系统部署和实施方案产品价值和优势.9平安审计的开展现状与趋势技术实现方式网络审计主机审计终端审计数据库审计日志抓包Agent每种技术手段

3、各有优优势顺应性最广，是等保的根本要求多用于网络审计和用户上网行为审计也用于数据库审计主要用于终端审计运用审计审计/维护对象.10平安审计的开展现状与趋势关于日志审计日志审计是根底日志审计的扩展性好、适用性强平安审计与等级化维护的结合二级以上都要有日志审计三级或者重点平安域要有针对性的部署专门的审计系统四级要部署平安管理中心综合平安审计是未来开展趋势.日志审计的技术开展趋势传统的日志审计注重的是日志的存储、基于数据库技术的日志查询和统计问题：短少对不同设备产生的日志的关联分析，因此难以发现隐藏的要挟和违规行为新型的日志审计更加注重日志实时关联分析在内存中进展事件归并事件追踪：一查究竟、及时发现

4、违规和入侵更加强调审计的闭环：发现问题后要可以处置问题告警联动11公安部新的产品评测规范中，添加了日志关联分析评测目的项.12关于数据库审计可以经过日志审计或者抓包审计的方式去做详细要根据客户需求来定日志审计：审计内容和粒度可以很细需求数据库翻开日志配置项，对性能有一定影响数据库日志与OS日志、运用系统日志综合分析，进展行为追踪抓包审计：旁路部署，不影响被审计的数据库无法审计加密信息无法审计真正的用户行为，短少行为追踪审计的效果不一定明显无法审计触发器和存储过程的内容SecFox-NBA网络行为审计系统业务审计型SecFox-LAS日志分析与审计系统.13目录当前面临的挑战平安审计的开展现状与

5、趋势我们的处理方案协助企业处理什么问题案例分析系统部署和实施方案产品价值和优势.根底设备层运用层业务层三个层面 三个维度 平安医生平安管家平安顾问全面可管理的信息平安体系平安决策平安监控平安分析.源于联想 网御神州15SecFox平安管理处理方案.16SecFox平安审计处理方案SecFox-NBA上网审计型SecFox-EPS终端审计信息可视化、关联分析SecFox-NBA业务审计型SecFox-LAS日志审计.17目录当前面临的挑战平安审计的开展现状与趋势我们的处理方案协助企业处理什么问题案例分析系统部署和实施方案产品价值和优势.18协助用户处理什么问题？一致日志监控与平安审计平台实时平安

6、日志分析网络流量异常审计海量日志集中存储实时告警、应急呼应整体平安审计报表报告符合等级维护要求的平安审计.19一致平安审计平台：态势感知审计监控频道，可以自在切换。面向业务链的审计.一致平安审计平台：频道定制20监控频道的规划可以定制，频道显示的内容也可以定制.21一致平安审计平台：实时统计.22一致平安审计平台：综合审计审计日志类型审计日志内容（主要）Windows操作系统账户日志特权使用日志详细跟踪日志审核系统日志文件操作日志：指定目录下的文件/子目录修改、删除日志操作系统性能日志Unix操作系统（含Solaris, HP-UX, Linux, AIX等）服务启停日志帐户日志su日志MOD

7、EM活动日志、FTP会话、Web访问日志防火墙、VPN安全规则日志IDS阻断日志连接阻断/通过日志代理日志、IDS日志、VPN日志用户认证日志内容过滤日志病毒过滤日志设备状态日志、HA日志、设备性能日志交换机/路由器操作日志设备状态日志设备故障日志、设备性能日志入侵检测系统入侵告警日志系统规则库升级日志防病毒系统病毒日志、攻击日志防病毒系统配置变更日志病毒扫描日志病毒库升级日志应用系统安全账户日志QQ使用日志、MSN使用日志常见网络病毒、常见网络游戏常见P2P下载日志远程登录FTP登录和注销日志Telnet登录和注销日志WEB服务器IIS日志Apache日志通用日志Syslog日志Snmp t

8、rap日志Netflow日志.一致平安审计例如：windows审计23.一致平安审计例如：运用平安审计24.25实时平安日志分析审计场景自在切换，自在定义在内存中进展日志分析.实时日志分析：事件追踪26点击查看明细点击放大事件清查事件追溯事件趋势.27网络流量异常审计基于NetFlow技术对网络流量进展审计和比较分析.28实时告警、应急呼应、设备联动可以与各种第三方的网络设备、平安设备进展战略联动，构成管理的闭环.丰富的呼应方式29响应方式说明设置告警属性设置通过规则引擎生成的关联事件的告警属性运行参数应用程序脚本运行用户指定的某个程序的CLI脚本，并能够将告警属性作为参数传递给CLI程序设备

9、联动自动执行一组针对第三方网络设备或者安全设备的联动指令发送电子邮件发送一封电子邮件给指定人发送SNMP Trap发送SNMP trap信息到指定IP发送一个事件到网管系统例如发送给HP OpenView NNM发送一个事件到服务台系统例如发送给HP Service Desk，或者BMC.30整体审计报表自动生成周报、月报、季报，并自动投递报表给管理员.31符合等级维护要求的平安审计在信息系统等级维护根本技术要求中，从第二级开场，针对网络平安、主机平安、运用平安都有明确的平安审计控制点在等保的管理要求中，“平安事件处置控制点从第二级开场要求对日志和告警事件进展存储在等保的管理要求中，从第三级开

10、场提出了“监控管理与平安管理中心的控制点要求.符合等级维护要求的平安审计32符合等保要求的实时审计场景和审计报表模板.33目录当前面临的挑战平安审计的开展现状与趋势我们的处理方案协助企业处理什么问题案例分析系统部署和实施方案产品价值和优势.源于联想 网御神州34典型案例1：某电信运营商日志审计工程作为运营商，其网络中心的交换机、路由器以及防火墙等产生的日志量相当宏大。SecFox-LAS凭仗其8000EPS的事件分析性能很好的对巨量日志进展审计，SecFox-LAS利用其特有的数据存储机制使得日存储日志量到达30GB。系统有效实现了电信运营商日志审计的要求如今处于运维阶段，不断添入了新的防火墙

11、、漏扫等日志的审计。“网御神州的日志审计系统在分析性能和日志存储方面表现优良，系统运转稳定，到达了我们运营商对日志审计的要求。 运营商平安审计工程经理.源于联想 网御神州35典型案例2：某市政务网日志审计工程该政务网是网监认定的等级维护三级单位。经过部署SecFox-LAS日志审计系统，实现了等级维护三级要求对日志审计的规定，包括：网络平安审计：设备运转情况、网络流量主机平安审计：资源异常运用、重要操作记录、文件删改运用平安审计：运用访问日志“经过网神日志审计系统的运用，使得我单位可以较好的满足等级维护三级要求中对日志审计的规定，并且搭建了一个平安管理平台，实现了对平安审计的集中管理。 信息中

12、心主任.36目录当前面临的挑战平安审计的开展现状与趋势我们的处理方案协助企业处理什么问题案例分析系统部署和实施方案产品价值和优势.37部署和运转.源于联想 网御神州38产品性能优化配置下每秒采集事件性能超越30000条优化配置下到达15000EPS事件每秒的事件分析性能；事件存储量仅取决于系统所用存储空间大小；控制台登录管理中心的用户最大并发衔接数：50个事件采集器对于所在主机和效力器的CPU利用率占用：2%.源于联想 网御神州39系统简介：系统本身安康监控.产品组成与系统功能40平安日志审计系统SecFox-LAS企业版v3.0根本包软件型等级维护包节点答应SecFox-LAS-1R硬件型S

13、ecFox-LAS-2R根底管理平台审计总控台设备管理日志查询流量分析告警管理报表管理等级维护包.41系统简介：运转环境(软件型)SecFox管理中心平台支持的操作系统系统配置WindowsWindows 2000 Server / Advanced ServerWindows Server 2003系列Windows XP Professional-最低Pentium 4 2.93GHz CPU，推荐使用Intel Pentium Xeon 1.6GHz以上CPU-至少1GB内存，推荐2GB-200GB磁盘空间1LinuxRedhat Enterprise Linux AS3Redhat E

14、nterprise Linux AS4-最低Pentium 4 2.93GHz CPU，推荐使用Intel Pentium Xeon 1.6GHz以上CPU-至少1GB内存，推荐2GB-200GB磁盘空间2事件传感器可选事件传感器运转在安装了Windows系列操作系统的主机和效力器上。Web控制台平台支持的操作系统系统配置WindowsMicrosoft Windows 2000 系列Microsoft Windows 2003系列Microsoft Windows XP系列-最低Pentimu III 1.1GHz CPU-至少256M内存-1G磁盘空间-16位真彩，建议分辨率为102476

15、8以上-Internet Explorer 6.0以上1 实践磁盘空间大小取决于需求存储的数据量或者在线存储的时间。2 实践磁盘空间大小取决于需求存储的数据量或者在线存储的时间。.系统简介：运转环境(硬件型)42型号规格指标SecFox-LAS-R1-1U标准机架式-采集事件性能超过7000EPS，事件处理性能达到4500EPS-自带1TB热插拔硬盘，支持Raid，硬盘容量可以扩展SecFox-LAS-R2-2U标准机架式，支持冗余电源-采集事件性能超过30000EPS，事件处理性能达到15000EPS-自带2TB热插拔硬盘，支持Raid，硬盘容量可以扩展-支持外接存储，例如DAS、NAS、S

16、AN等；支持光纤接口硬件型产品不按照日志采集节点数发放答应，不限审计节点数，支持的节点数仅受限于硬件平台的性能！大大降低用户的总拥有本钱.43目录当前面临的挑战平安审计的开展现状与趋势我们的处理方案协助企业处理什么问题案例分析系统部署和实施方案产品价值和优势.44价值和优势完全自主开发，针对中国客户需求和管理习惯强调全网以业务为主线的整体平安审计一致平安审计平台，扩展性强，顺应未来开展的需求.45价值和优势区别于普通日志审计的5大特点强调实时分析与审计普通日志审计的都是基于数据库的查询审计，SecFox-LAS是内存中审计，速度快、效率高、更准确、更实时SecFox-LAS具有丰富的审计场景，

17、并且可以自在定制强调整体审计具有异常流量审计功能对NetFlow数据流的分析和审计超强的事件采集才干最高到达30000+ EPS事件每秒全面符合等级维护的要求，协助用户进展等级维护.源于联想 网御神州46产品荣誉863科研成果，完全自主研发，恳求三项专利拥有齐全的产品资质产品推出至今开展到3.0版本，稳定可靠，拥有大量的用户群CCID统计SecFox 2007年销量排名第一.47产品获奖SecFox平安管理平台荣获“2006年电子信息技术创新运用奖pcworld/topics/12/2007-04-12/481.shtml .48产品获奖荣获2007-2021中国平安管理平台SOC市场年度胜利企业大奖 .49从LAS晋级到SIM：协同防御平台ALERT!ALERT!ALERT!ALERT!ALERT!海量日志数据 孤岛防御大量的误报单点防御机制面临挑战！.50事件可视化是指SecFox-SIM将归一化和关联分析后的事件、要挟等以