LogBase日志综合审计系统v20.ppt

记录检索 设备日志审计 数据库审计 应用系统审计 上网行审计 日志流量审计 合规报警 审计报表 实时分析 实时采集 实时存储 LogBase日志综合审计系统介绍 产品功能 LogBase日志综合审计系统介绍 日志对象 采集或捕获 – 日志收集和管理 归一化或理解 – 成熟的日志解释和翻译 分析或了解– 全面的审计和合规性报告 LogBase为用户提供专业的日志审计流程 LogBase日志综合审计系统介绍 问题解决第一步：采集或捕获(日志管理) 功能： 从任何平台安全可靠地捕获日志 全面支持原始日志收集和保存 将日志保存在经过压缩的高效存储库中 在需要时可以访问原始数据 提供所有原始日志中查找关键数据 通过报告证明对日志进行了全面收集 成效： 集中的自动收集日志可降低成本 随时应对 “审计”！ 实施时间：即插即用 LogBase日志综合审计系统介绍 问题解决第一步：采集或捕获 操作系统 Windows Linux AIX SunOS HP-UX BSD 网络设备 路由器 交换机 负载均衡 代理设备 ….. 安全设备 防火墙 IDS/IPS UTM VPN 防毒墙 邮件网关 …… 数据库访问 Oracle MSSQL Informix Sybase DB2 Mysql 上网行为 网页浏览 文件传输 邮件收发 IM聊天 BT下载 WEB邮件 BBS发帖 其他 应用系统 WEB Server Mail Server FTP Server 中间件系统 业务系统 ….. 日志文件采集 网络抓包分析采集 日志协议、专用协议采集 LogBase日志综合审计系统 功能： 从多种平台安全可靠的采集日志 支持原始日志的采集和保存 日志采集状态及趋势监控 应用效果： 保证审计记录的安全性 通过状态监控发现系统异常 有效降低审计管理成本 LogBase日志综合审计系统介绍 问题解决第二步：归一化（理解） 如何理解各种不同格式的日志文件？ 如何从日志文件中快速寻找到目标人员的做过的动作和行为？ LogBase日志综合审计系统介绍 AAA 归一化处理 第三方应用 Logbase slas log 将形式各异的日志统一成Logbase专有日志格式 通用字段翻译转义，降低对审计员的技术要求 归一化后更易于阅读、程序处理 时间 地址 对象 操作 结果 等级 信息 问题解决第二步：归一化（理解） LogBase日志综合审计系统介绍 * 问题解决第二步：归一化（理解） 从翻译中寻找需要的信息 LogBase日志综合审计系统介绍 Who: (哪个用户或者应用造成了事件) What： (该事件代表了哪种动作) When： (事件何时发生的) Where： (事件是在哪个机器上发生的) What： (涉及到哪些对象，文件或者数据库) WhereFrom： (事件起源于哪个机器?) WhereTo：事件的目标是哪个机器?) 7W的关系 问题解决第二步：归一化（理解） LogBase日志综合审计系统介绍 问题解决第三步：关联分析（了解） 审计的意义在于监督及发现违规的用户行为，特别是特权用户的行为。基于日志内容的关键字过滤，安全事件规则库，自定义敏感事件告警；合规报表展现。 LogBase日志综合审计系统介绍 操作系统日志 支持对象 Windows、Linux、AIX、HP-UX、Solaris…… LogBase日志综合审计系统介绍 应用系统日志 WEB server 中间件 FTP SERVER、MailServer 防病毒软件 自主开发应用系统 LogBase日志综合审计系统介绍 网络及安全设备 路由器、交换机、 防火墙、VPN、负载均衡设备、防毒墙、代理设备、IDS/IPS等 LogBase日志综合审计系统介绍 数据库系统日志 采集对象： Oralce DB2 MS SQLServer Mysql Informix Sybase 系统日志（windows、linux、unix） 采集方式 旁路镜像采集网络数据包 安装软件探测器 数据操作类（如select、insert、delete、update等） 结构操作类（如create、drop、alter等） 事务操作类（如Begin Transaction、Commit Transaction、Rollback Transaction等） 用户管理类以及其它辅助类（视图、索引、过程等操作） 等数据库访问行为 LogBase日志综合审计系统介绍 日志采集—完整记录日志内容 LogBase数据库审计系统记录内容： 日志发生时间 源、目标IP地址 数据库名 用户名 操作信息 返回信息 LogBase日志综合审计系统介绍 日志采集-网络行为 HTTP、Mail、MSN、FTP、BT等 LogBase日志综