[ 自2007年网络安全等级保护制度实施至今,已从等保1.0时代进入等保2.0时代,再加之2017年6月《中华人民共和国网络安全法》颁布实施,中国的网络安全发生了突破性进展,不仅体系发生了大升级,而且网络安全标准也从制度上升为法律,变得空前重要。这套制度标准的实施为信息系统安全开辟了一条可落地可操作的道路,不仅为各信息系统提供体系化的指导,根据各自责任落实相应技术措施;同时为落实信息系统安全工作提供方向和依据,明确法律法规要求,让安全工作有法可依;还致力于落实保障个人信息、资金等安全,为个人隐私提供保护伞。]
艾科网信IDLog日志审计系统就是专为等保2.0用户量身定制,采用NoSQL数据存储结构,兼容所有厂商文本格式日志及大部分数据流格式日志,通过大数据分析与搜索技术,进行日志及行为的关联分析,生成安全事件的联动报警,为安全事故的责任追查、故障定位提供有力的技术手段。
通过多种技术手段对各类日志数据进行收集、分析和识别,可以对各类性能障碍、非法入侵、非法及不当操作、恶意攻击、违规泄密等行为进行识别,协助运维人员进行安全监视、审计追踪、调查取证等操作。
采集
支持多种采集技术;
兼容各种网络设备、安全设备、操作系统、应用系统等日志格式;
不同型号对应不同的采集速度,匹配不同的实时日志量,做到无遗漏采集。
存储
支持本地存储、外部服务器存储、云架构存储等多种存储方式;
众多数据和文件的直接管理,分布式数据协调存储,所有数据可执行异地备份;
支持传统的日志审计数据存储以及数据库数据、PDF文件、Word文档、Excel表格等。
查询
不同格式的日志归一成IDLog自有的格式,便于快速关联查询;
秒级查询,采用大数据搜索技术,数亿条日志也能够秒级查询。
告警
内置各种日志告警条件、管理员可自定义告警条件;
事件关联告警,根据告警条件对相关的日志进行关联告警;
支持实时告警通知,管理员可以对告警信息通过工单管理的模式进行事件跟踪处理。
报表
内置各种报表生成模板、管理员可根据需要自定义报表模板;
报表计划,定期(日报、周报、月报等)生成各种需要的日志报表。
- 日志分析
1、自定义分析 | 支持设置不同的查询条件对日志进行筛选、关联分析,生成对应的报表数据; 支持直接对数据库数据、PDF、Word文档、Excel文件等众多数据和文件的管理分析; 支持综合不同设备的日志,进行信息安全生命周期的态势感知或监控; 管理员可以根据需要自定义各种分析搜索模板; |
2、网络安全分析 | 支持访问控制事件日志分析,展示攻击事件趋势/攻击事件/攻击源; 支持ActiveX和Applet内容过滤日志分析,过滤报文分布情况,被过滤次数最多的源IP地址和目的IP地址; 支持IPS攻击行为分析,展示攻击行为事件趋势、攻击级别时间趋势、攻击源IP、攻击目的IP、攻击协议、被攻击端口; 支持反病毒日志分析,展示病毒感染趋势、病毒事件、被病毒感染次数最多的目的IP地址和发出带毒文件数量最多的源IP地址; 支持URL过滤日志分析,展示访问Web次数最多的源IP、被访问的站点及URL地址; 支持邮件过滤日志分析,展示邮件连接和命中趋势,以及允许、阻断及告警的邮件连接中连接次数最多的IP地址; 支持ACL规则和转发策略命中分析,展示ACL规则趋势,策略趋势、安全域间策略; 支持IM上下线审计日志分析,支持防火墙Syslog日志分析; |
3、会话分析 | 支持百万级IPv4/IPv6会话日志查询; 支持NAT的port range日志、用户端口预分配、URL会话、IM会话日志查询; 支持会话趋势、会话源IP、会话目的; |
4、流量分析 | 支持基于物理接口IP应用协议的实时流量趋势、流入流出,支持查询区域流量排行报表; 支持NGFW应用流量排行与趋势、用户/IP上网流量; |
5、上网行为分析 | 支持NGFW用户/IP上网时长、上网趋势; 支持上网行为命中次数最多的关键字,应用类型包含邮件、网页、搜索引擎等; 支持用户URL审计日志分析,支持WEB访问次数最多、上传内容最多网站; 支持邮件过滤日志分析、应用业务类型分析; 支持上网行为命中威胁次数最多的用户,包含反病毒及入侵防御等威胁; 支持邮件、FTP、HTTP的文件外发日志分析; |
6、SSL VPN分析 | 支持SSL VPN用户流量、虚拟网关流量、连接数、在线用户数、内网资源访问、移动终端访问类型的分析; |
产品特性