日志综合审计系统v.pptVIP

* Who: Which User or Application initated the event(哪个用户或者应用造成了事件) What：What kind of action does the event represent? (该事件代表了哪种动作) When：When did the event occur? (事件何时发生的) Where：On Which machine did the event happen? (事件是在哪个机器上发生的) OnWhat：What Object(file, database, ..) was involved? (涉及到哪些对象，文件或者数据库) WhereFrom：From which machine did the event originate? (事件起源于哪个机器?) WhereTo：Which machine is the target or destination of the event?(事件的目标是哪个机器?) 全面采集硬件设备、操作系统、应用系统日志及自定义文本格式日志等 基于海量日志高效检索引擎 提供实时日志统分析 提供实时的各类型日志列表 提供全面日志格式的标准化 提供日志的实时关联分析和告警 提供丰富的合规报表和自定义报表 LogBase日志综合审计系统介绍 产品特点 记录检索 设备日志审计 数据库审计 应用系统审计 上网行审计 日志流量审计 合规报警 审计报表 实时分析 实时采集 实时存储 LogBase日志综合审计系统介绍 产品功能 LogBase日志综合审计系统介绍 日志对象 采集或捕获 – 日志收集和管理 归一化或理解 – 成熟的日志解释和翻译 分析或了解– 全面的审计和合规性报告 LogBase为用户提供专业的日志审计流程 LogBase日志综合审计系统介绍 问题解决第一步：采集或捕获(日志管理) 功能： 从任何平台安全可靠地捕获日志 全面支持原始日志收集和保存 将日志保存在经过压缩的高效存储库中 在需要时可以访问原始数据 提供所有原始日志中查找关键数据 通过报告证明对日志进行了全面收集 成效： 集中的自动收集日志可降低成本 随时应对 “审计”！ 实施时间：即插即用 LogBase日志综合审计系统介绍 问题解决第一步：采集或捕获 操作系统 Windows Linux AIX SunOS HP-UX BSD 网络设备 路由器 交换机 负载均衡 代理设备 ….. 安全设备 防火墙 IDS/IPS UTM VPN 防毒墙 邮件网关 …… 数据库访问 Oracle MSSQL Informix Sybase DB2 Mysql 上网行为 网页浏览 文件传输 邮件收发 IM聊天 BT下载 WEB邮件 BBS发帖 其他 应用系统 WEB Server Mail Server 中间件系统 业务系统 ….. 日志文件采集 网络抓包分析采集 日志协议、专用协议采集 LogBase日志综合审计系统 功能： 从多种平台安全可靠的采集日志 支持原始日志的采集和保存 日志采集状态及趋势监控 应用效果： 保证审计记录的安全性 通过状态监控发现系统异常 有效降低审计管理成本 LogBase日志综合审计系统介绍 问题解决第二步：归一化（理解） 如何理解各种不同格式的日志文件？ 如何从日志文件中快速寻找到目标人员的做过的动作和行为？ LogBase日志综合审计系统介绍 AAA 归一化处理 第三方应用 Logbase slas log 将形式各异的日志统一成Logbase专有日志格式 通用字段翻译转义，降低对审计员的技术要求 归一化后更易于阅读、程序处理 时间 地址 对象 操作 结果 等级 信息 问题解决第二步：归一化（理解） LogBase日志综合审计系统介绍 * 问题解决第二步：归一化（理解） 从翻译中寻找需要的信息 LogBase日志综合审计系统介绍 Who: (哪个用户或者应用造成了事件) What： (该事件代表了哪种动作) When： (事件何时发生的) Where： (事件是在哪个机器上发生的) What： (涉及到哪些对象，文件或者数据库) WhereFrom： (事件起源于哪个机器?) WhereTo：事件的目标是哪个机器?) 7W的关系 问题解决第二步：归一化（理解） LogBase日志综合审计系统介绍 问题解决第三步：关联分析（了解） 审计的意义在于监督及发现违规的用户行为，特别是特权用户的行为。基于日志内容的关键字过滤，安全事件规则库，自定义敏感事件告警；合规报表展现。 LogBase日志综合审计系统介绍 操作系统日志 支持对象 Windows、Linux、AIX、HP-UX、Solaris…… LogBase日志