选择东软日志审计系统的十大理由

在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为,并按照某种规范表达出来。

我们可以使用日志系统所记录的信息为系统进行排错,优化系统的性能,或者根据这些信息调整系统的行为。在安全领域,日志可以反应出很多的安全攻击行为,比如登录错误,异常访问等。日志还能告诉你很多关于网络中所发生事件的信息,包括性能信息、故障检测和入侵检测。日志会成为在事故发生后查明“发生了什么”的一个很好的“取证”信息来源,日志可以为审计进行审计跟踪。

日志也受到国家的高度重视,国家法律法规要求:

GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》对于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。
《互联网安全保护技术措施规定》(公安部82号令)第八条要求具备“记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件等安全审计功能”。
《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。 
《银行业信息科技风险管理指引》 第二十七条要求银行业应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。
《保险公司信息系统安全管理指引(试行)》第四十四条要求“对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计”。
《网络安全法(草案)》第三章网络运行安全中第一节一般规定的第三条要求“采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存网络日志”。
《萨班斯(SOX)法案》404条款,公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。(注:在SOX中,信息系统日志审计系统及其审计结果是评判内控评价有效性的一个重要工具和佐证)

综上 ,企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、监控、审计、分析、报警、响应和报告。

东软NetEye日志审计系统契合以上需求,并且与时俱进,在满足现有业务基础上和原有功能基础上新增独具优势的十项新功能亮点。

1、威胁情报功能,对网络中安全威胁如何进行提前预测和防范,增强网络安全感知能力。新增云端威胁情报中心联动,和三方权威的威胁情报中心合作,实时下载最新安全威胁及相关特征,结合网络流量日志及资产漏洞信息进行威胁预警。通过连云端每日推送威胁情报,实现如下功能:1、云端威胁情报下发:客户端可以先订阅情报,云端能够根据客户端的行业每日推送最新的所涉行业的威胁情报。2、黑IP、黑域名、恶意邮箱等威胁数据碰撞产生告警:目前可以根据日志当中的IP、域名、邮箱和URL去进行威胁数据碰撞,命中则产生告警。

图1 威胁情报功能

2、离线分析统计功能,针对查询到的日志进行分类统计分析和图表展现。支持的统计字段有名称、类型、子类、设备地址、源地址、目的地址、执行动作账号、动作结果。常用场景,针对网络攻击类日志里的源IP进行统计,以识别TOPN的攻击IP。

图2 离线分析统计功能

3、查询列表展现字段可定义,针对客户查询时可配置需要查看的字段进行展现。确定后,下次再进入页面会保留选定的展现字段。解决之前版本自定义的查询字段无法保存重新打开或刷新页面即消失的问题。

图3 查询列表展现字段自定义

4、告警策略中增加命中统计功能,可统计出当前系统的告警策略历史命中情况统计。

图4 告警策略中增加命中统计功能

5、告警关联的原始日志页面增加查询功能,针对告警关联的原始日志,提供简单查询功能,可根据时间、名称、严重级别、类型、源地址、目的地址等进行查询。解决之前版本告警所关联的日志无法进行查询。

图5 告警关联原始日志查询

6、创建资产智能绑定创建采集器功能。为了方便简化系统的配置,在创建资产的时候,通过选择是否智能绑定创建采集器的功能对采集器进行同步创建(仅支持syslog方式接入的日志)。


图6 创建资产智能绑定创建采集器功能

7、存储计算功能。通过对近期(30内)的日志接收情况判断具体每日所占用的存储情况,可结合系统所剩存储大小判断还可以存储多少天的数据。


图7 存储功能计算

8、增加开关控制日志源。针对不想继续接收的日志,可以通过关闭日志源的方式进行关闭。解决之前无用设备日志占用授权。


图8 开关控制日志源

9、网站监控功能。以网站、站群为维度的对网站业务系统进行日志监控。


图9网站监控功能

10、标准化策略库扩充。标准化库扩充到近200个类型。

图10 策略库扩充

新增功能更加适应互联网多样化的安全业务需求,为您提供了选择东软NetEye日志审计系统的不二理由。东软NetEye日志审计帮助企事业单位提取有效价值,关联分析,提高安全审计的效率与准确性,有助于及时发现安全隐患,协助故障定位,追查责任,并能够满足各项标准和法规的合规性管理要求。