需求分析
安全日志审计面临新的挑战

随着数字产业化、产业数字化、数字孪生的逐步加深,世界正在走向由软件定义、网络互联、数据驱动的数字化未来。企业内各类基础安全设施种类及数量持续增长,也为安全团队带来了巨大的困扰。

政策法规要求

由于企业日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。国家及各行业相继出台法律法规及标准规范,对安全审计提出的要求不断增强。

安全工作需求

结合企业用户在安全审计方面的实际工作需求,主要体现在安全日志难整合、数据价值难提炼、安全风险难监控、合规审计难排查的问题。

产品概述

360日志收集与分析系统能够提供多源日志采集、标准化处理、合规数据存储、多维关联分析等功能,能够帮助客户快速实现各类安全设施日志数据集中管理分析以及合规审计,满足相关规范及标准要求;并结合监测仪表、威胁场景分析、溯源取证、审计报表等功能应用,帮助用户提升安全工作效率。

功能介绍

360日志收集与分析系统整体功能可划分为三个层级,分别为数据层、分析层、应用层,如下图所示:

数据层实现多源原始日志采集、预处理、存储等功能:数据采集方面提供Syslog、SNMP Trap、Kafka、FTP、JDBC、API、脚本、WMI、File等常见数据采接入方式,支撑各类安全设施日志能够无缝接入本系统;数据预处理方面设计了涵盖数据过滤、数据解析、数据补齐、数据标签等标准化数据处理流程,增强可读性;数据存储实现各类数据集中存储、管理与维护,满足安全审计合规要求,并设计有主题库数据、安全类数据、管理类数据,提高数据的快速写入、读取效率,为安全审计、跨数据源关联分析等提供基础数据支撑。

分析层设计有跨数据源关联分析、情报碰撞分析两种分析模式,分别对标准化后的日志数据展开二次分析,一方面提高告警准确率,将置信度更高的告警输出给安全团队,另一方面利用跨数据源关联及情报碰撞构建新的分析模式,缓解现有安全设备“单兵作战”的片面性

应用层围绕实际安全工作需求进行功能设计:通过安全工作台、监测仪表用于支撑不同角色安全人员快速开展日常工作;通过智能检索功能精准查询目标数据,满足安全审计及溯源取证需求;通过威胁场景分析构建多维威胁分析视角,呈现当前安全状态;通过审计报表快速归档周期内工作成果;通过资产管理、知识库、状态监控、等保管理、图表管理等功能加强安全管理;通过可视化策略管理、系统管理,支撑客户对本系统进行更多的个性化配置变更。

技术优势
高效的日志接入能力

依托 360 本地安全大脑强大的解析能力和分析能力,内置解析规则上千条,支持接入200+ 厂商,并且数据解析规则支持 WEB 界面配置数据与内容包上传两种方式,可实现日志的快速接入。

强大的仪表板交互能力

360日志收集与分析系统提供强大的数据分析功能,可快速以多维度展现数据的价值,自主式的对数据进行分析,提高工作效率。安全数据分析结果通过可视化BI图表展示与分析,图表展示包括直方图、折线图、面积图、饼图、表格、统计值、同比、环比等多种类型。

全面的关联分析能力

采用自主研发、基于流式处理和批式处理一体化的关联分析引擎,能够实时的处理接入的海量多源异构数据,结合 360 大数据威胁情报,能够更加全面的发现潜在的威胁。

监管合规

产品内置丰富的报表,如等级保护、SOX、PCI、ISO27001、登录事件等合规报表与事件报表,报表支持自定义模板,可自定义报表文字内容及各类统计图表,并且支持等保过程文档管理与知识库功能,能够充分满足合规需求。

部署方案

360日志收集与分析系统通常部署于网络安全管理区,利用 Syslog、SNMP Trap、Kafka、SFTP、JDBC、API、脚本、WMI、File 等方式集中采集全网各区域日志数据,支撑安全审计、监测溯源等工作集中开展。

典型应用
场景一:
  • 安全合规场景
需求:
  • 基于等保2.0、网络安全法要求,满足全网日志统计采集管理、集中审计的合规要求。
解决方案:
  • 集中采集整网安全、交换、服务器等设备日志,对海量日志进行高性能存储,以及即时查询检索,满足故障排查、审计取证、安全溯源等需求,满足180天存储合规及集中审计管理的监管要求。
场景二:
  • 攻击威胁检测分析及溯源取证
问题:
  • 多维告警日志集中监测、关联分析,并精准定位安全风险。
解决方案:
  • 通过集中采集各安全节点上报的告警日志数据,利用日志分析系统对采集的各类安全设备告警内容进行复杂逻辑关联分析及情报匹配分析,提高告警准确度;对安全设备上报的原始告警内容及安全分析结果进行归类统计及展示,直观呈现安全状态;对安全事件快速查询相关联的原始告警信息,为事后溯源及取证工作提供数据支撑。