一、简介及需求概述
日志管理包含日志的产生、收集、审计分析(范式化后)和存储的全过程。
日志审计产品是一种基于大数据技术,用于收集、存储、分析和管理系统、应用程序和网络设备产生的日志数据的解决方案。这些产品能够帮助企业监测和审计其信息系统的活动,识别潜在的安全威胁、异常行为和合规性问题。
需求点:①合规:刚需存储6个月及安全审计要求;
②内生:1)监测与跟踪可疑的行为;2)信息孤岛,内部综合安全分析(数据格式不统一、关联分析难度大、溯源取证压力大);
③资金:云上存储太贵,采购产品本地存储。
核心法律法规:GB/T 22239-2019《信息安全技术网络安全等级保护要求》、《中华人民共和国网络安全法》,其他行标中都有相应说明。
二、逻辑架构
三、主要功能
-
日志收集和存储:收集来自各种源(如服务器、防火墙、路由器、数据库等)生成的日志数据,并将其集中存储在一个中心化的位置(一个庞大的时序数据库),以便后续分析查询。
-
日志解析和标准化:将收集到的日志转换为统一的格式,以便进行后续的分析和处理。帮助用户更好地理解日志内容,并对其进行搜索和过滤。
-
行为分析和关联分析:利用机器学习、行为分析和关联分析等技术,对大量的日志数据进行智能分析,以发现潜在的安全漏洞和威胁模式。识别异常行为、内部威胁和高级持续性威胁(APT)等。
-
合规性支持:通常包含与各种合规性标准(如PCI DSS、HIPAA、GDPR、SOX法案等)相符的预定义报告和规则库,以帮助企业满足合规性要求,并生成符合相关标准的审计报告。
-
可视化和报告:产品提供直观的可视化界面,以便用户能够方便地查看和分析日志数据。它们还支持生成定制化的报告,用于安全事件响应、合规性审计和安全性评估等目的。
四、杂记
性能、功能、市场的矛盾点始终伴随着商用产品,既要又要。
①大数据时代,数据量大,主被动采集,代理模式采集的效率是一个参考指标;
②海量异构设备及系统,私有协议数据(加密),安全认知,厂商保守政策等等,日志的范式化是一个问题。标准化格式下的个性化解析给了商用产品可扩展性指标;
③审计分析两方面:审计策略配置规则(需有安全知识注入)和报表展示能力(专注安全指标即可);
④数据分区、数据压缩、索引和归档对于数据存储及高性能数据写入及查询极其重要;
⑤数据加密,访问控制和审计追踪这些基本能力需对标数据保密性和完整性要求。