深信服信服云_SIP-Logger产品介绍和配置指引V1.0.pptx

信服云_SIP-Logger产品概述和介绍 版权所有© 2022深信服科技股份有限公司 第1页 版权所有© 2022深信服科技股份有限公司 第2页 课程内容 课程目标 需求背景与产品定位 了解安全威胁背景，以及产品定位 产品功能及能力 了解产品的主要功能及优势 版权所有© 2022深信服科技股份有限公司 第3页 1.需求背景与产品定位 2.主要功能和产品能力 1.需求背景与产品定位 版权所有© 2022深信服科技股份有限公司 第4页 需求场景 背景概述 随着信息技术持续地发展，各类组织、企业对信息系统的运用也不断深入，为了在复杂条件下应付各类安全情况（如黑客的攻击、内部员工的有意或无意地进行越权或违规操作），企业部署了大量的、不同种类、形态各异的信息安全产品。 另外，除了这些专用安全设备或系统每日会产生各种日志，组织或企业日常使用的业务系统、主机系统、网络设备等也会生成不少和安全相关的日志，它们都存在如下问题： 1、它们格式差异巨大，没有统一标准 2、它们数量巨大，用户无法进行重点分析 3、难以挖掘各类日志之间的关联关系，从而难于审计 上述这些原因均会导致日志审计工作难于开展，所以部署集中的日志审计 系统就成为必须。 版权所有© 2022深信服科技股份有限公司 第5页 版权所有© 2022深信服科技股份有限公司 第6页 产品定位 深信服日志分析管理系统 提供了众多基于日志分析功能，如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等，能够同时满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。 系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及审计违规。 日志记载着各类设备、系统、应用、网络访问等所有日志与访问信息 2.主要功能和产品能力 版权所有© 2022深信服科技股份有限公司 第7页 产品功能 版权所有© 2022深信服科技股份有限公司 第8页 版权所有© 2022深信服科技股份有限公司 第9页 日志识别 事件名称 登录失败 事件类型 访问控制类 发生时间 2013.12.21 06:00:13 源IP地址 10.9.20.185 源端口 1344 严重级别 信息级 主机名 SOC 目的用户 root 协议 SSH 由采集器根据解析脚本进行原始日志的解析，转换为统一的标准化格式 对于小众的厂商或设备，具备良好的可扩展性，可通过界面导入配置文件 系统内置丰富的标准化策略，适配众多不同厂商不同设备的日志数据 日志查询 版权所有© 2022深信服科技股份有限公司 第10页 在众多杂乱的事件中，检索出具备一定风险和价值事件；在配置数据源时，可以设置需要检索的日志条件，支持多字段条件设置，配置完成后，logstash会根据配置的筛选条件将匹配上的日志显示出来。 例如：需要检索源IP为1.1.1.1的日志，目的地址为1.1.1.2，则配置： src_ip:1.1.1.1 AND dst_ip:1.1.1.2 日志过滤 版权所有© 2022深信服科技股份有限公司 第11页 在众多杂乱的事件中，过滤出具备一定风险和价值事件；在配置数据源时，可以设置需要过滤掉的日志条件，支持多字段过滤，配置完成后，logstash会根据配置的过滤条件将匹配上的日志丢弃。 日志A 日志B 日志C 日志D 日志… 事件A 事件D 例如：需要过滤掉源IP为1.1.1.1的日志，则新建过滤条件： 源IP = 1.1.1.1 即可。 日志转发 版权所有© 2022深信服科技股份有限公司 第12页 支持无缝对接深信服安全感知平台，关联转发的设备日志可用于用户的资产可视化安全分析 同时，SIP-Logger支持对采集日志的二次转发 ，转发到syslog或Kafka服务器 告警监控 版权所有© 2022深信服科技股份有限公司 第13页 用户可以通过定义过滤器来监控需要特别关注的告警信息，也可以根据个人需求，设置邮件通知或短信通知 审计报表 版权所有© 2022深信服科技股份有限公司 第14页 提供详细的Word版合规报表，包括应用安全报表、网络设备安全报表、数据库安全报表、主机安全报表（windows）和主机安全报表（linux），报表类型支持日报、周报、月报。 版权所有© 2022深信服科技股份有限公司 第15页