慧眼日志审计系统课件.ppt

and and 安全设备管理控制台 密码登录失败… 安全事件不被关注！ 密码猜解 事件次数：1 安全事件：身份验证-登录失败 事件优先级:3 可信度：2 风险：无 关联2次 关联3次 and 60秒内连续15次失败发生 安全事件：身份验证-登录失败 事件优先级:4 可信度：6 风险：低 事件类型：口令猜解 关联4次 关联5次 60秒内连续31次密码登录失败发生 安全事件：身份验证-登录失败 事件优先级:4 可信度：8 风险：低 事件类型：口令猜解 通过5次关联， 直接置事件可靠性由2到8， 同时事件优先级从3到4。 风险事件类型为：密码猜解。 内置风险算法 事件次数：3 安全事件：身份验证-登录失败 事件优先级:4 可信度：4 风险：低 事件类型：口令猜解 样例场景一 安全设备管理控制台 疑似安全攻击事件 在可疑事件发生后，又有文件传输 大量的疑似事件 不被关注 安全设备 疑似安全攻击事件 在可疑事件发生后，又有文件传输 日志审计系统 目标服务器 系统日志事件 内置风险算法 告警 风险 样例场景二 样例场景三 从多种安全事件关联出高危事件！ 传统的安全手段无法发现高危事件！ ? 1、获得全面的日志集中管理，实现海量日志收存查，消除信息孤岛 ； 用户收益 2、获得日志视角的安全管理，发现安全事件，掌握系统安全状况 ； 3、实现ISO27001、等保、分保、行业规定等相关合规审计 ； 4、实现安全事件事后取证定责有依据，强化“不可抵赖”安全特性 5、丰富灵活的报表，为工作汇报、信息安全决策提供可靠数据 ； 产品资质及案例 第三部分 慧眼日志审计产品资质 典型客户 国都兴业信息审计系统技术（北京）有限公司 IT审计，创造信息系统新价值 * 为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、网闸，等等。这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT计算环境及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。 * * * 如图所示，针对不同的审计和保护对象，采取不同的技术手段，就出现了不同类型的安全审计类产品。这些产品名目繁多，用途不一，如果选择一款适用的安全审计系统显得尤为重要。 通过上图，我们可以看出来，基于日志的审计适应性最广，并且是等级保护中二级以上明确要求的内容，而且日志审计能够对最广大的保护对象进行审计，适应面广。而其它审计产品一般都是针对某个具体领域和保护对象的专项审计类产品，适合于在日志审计部署了以后再考虑，作为整体安全审计的有效补充。 * * * * * * */ 58 Captech Co.,Ltd. All Rights Reserved. */ 58 Captech Co.,Ltd. All Rights Reserved. */ Captech Co.,Ltd. All Rights Reserved. */ 58 Captech Co.,Ltd. All Rights Reserved. */ 58 Captech Co.,Ltd. All Rights Reserved. 公司介绍 用户IT现状及面临的问题 慧眼日志审计解决之道 案例及资质介绍 慧眼综合日志审计系统 简介 国都兴业信息审计系统技术(北京)有限公司 用户IT现状及面临的问题 新形势下的IT现状 问题一：各种设备各自为政，如何打破信息孤岛 网络中有各种各样的设备、应用 问题二：监控和审计界面过多，手忙脚乱 海量日志-无法有效管理 信息孤岛-日志无法关联 大量误报-关键告警淹没 多种界面 -高成本低效率 网络设备 服务器/桌面机操作系统 防病毒系统 入侵检测系统 漏洞评估系统 Firewalls Firewalls Firewalls Firewalls Firewalls 防火墙/VPN 安全管理变得复杂难以应对 问题三：如何重点关注核心资产安全事件 用户单位普遍数据集中管理，所以客户单位部署了许多服务器： 数据库服务器 ERP服务器 OA服务器 Mail服务器 门户站点服务器 文件服务器 服务器核心交换机 ………. 服务器在运行过程中产生大量的日志事件、告警事件。用户急需针对核心资产的安全事件的关注。 问题四：如何从海量事件发现异常 用户单位网络中部署大量的IT基础设备（服务器、网络设备、安全设备….) 每天各设备都会产生各种各样的日志如、登陆日志、维护日志等 很多异常事件都是从正常事件演变过来的，管理人员如何区分和判断？ 问题五：如何从众多安全事件