深信服日志分析管理系统SIP-LoggerV0白皮书.docx

《深信服日志分析管理系统SIP-LoggerV0白皮书.docx》由会员分享，可在线阅读，更多相关《深信服日志分析管理系统SIP-LoggerV0白皮书.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SANGFOR深信服科技深信服日志分析管理系统SIP-Logger V3.0 白皮书深信服科技股份有限公司2020年3月审计策略从流量中还原FTP会话数据，数据中至少包含登录用户、传输文件名以及操 作命令等信息。审计是基于事先配置号的规则生成日志，记录可能发生在系统上 的事件。审计不会为系统提供额外的完全防护，但它会发现并记录违反安全策略 的人及其对应的行为，审计能够记录的日志内容：日期与事件、事件结果、触发 事件的用户、认证机制如SSH等、对关键数据文件的修改行为等。审计策略是指在海量日志中提取出用户关心的那部分日志，将原始日志按照 一定的内容解析成用户可理解事件。例如windsows主机会

2、产生大量日志，用户只 关注登录日志，那么可以配置一条审计策略将其过滤解析出来。当前系统中内置 了针对windows主机、linux主机、数据库的45条审计策略。关联策略关联策略即关联规则，从海量日志中提取出风险。当前产品为不同的攻击场 景内置的预定义规则和由分析人员创建和调整的自定义规则。当前内置了部分左 右的关联规则，且支持用户自定义关联规则，自定义规则支持统计类规则。5.1.6 事件分析深信服日志分析管理系统的事件分析功能是系统中的核心功能之一；其中关 联分析策略主要侧重于各类日志之间可能存在的逻辑关联关系。匹配上规则后， 会产生对应的事件，在事件页面展示。深信服日志分析管理系统不仅支持以

3、预定义规则的方式进行事件关联，还支 持基于状态、时序、归并等发现方式的关联。对于事件关联分析所产生的结果将在关联事件中呈现，如果符合关联策略， 将以告警的形式在实时监控模块呈现给用户，用户可以对告警进行相关的处理。5.1.7 审计管理深信服日志分析管理系统的审计管理功能是系统的核心功能之一，其中审计 策略主要侧重于发现日志中相关要素是否和预定的策略相符，如时间、地点、人 员、方式等；日志分析管理系统支持以预定义规则的方式进行审计；支持基于模 式发现方式的关联。对于根据审计策路所产生的审计违规结果，系统将在审计事件中呈现给用户, 如果符合定制的审计策略，也会在实时监控模块以告警形式展现给用户。5

4、.1.8 告警监控所谓告警是指用户特别需要关注的安全问题，这些问题来源于事件分析、审 计分析的结果。告警监控中包括了如下功能：1）告警监控：用户可以通过定义过滤器以监控需要特别关注的告警信息，用 户也可以根据个人需求，设置告警的提示音、界面显示方式等；2）告警处理：处理监控列表中相关告警；针对告警，用户可以清除（不予关 注）、确认（已知告警可后续处理）。6产品优势与价值产品优势6.1.1 全面的采集能力数据采集是日志审计的基础功能，当前主要实现的有：1）支持200+款设备日志归一化。2）支持30+款设备日志深度分析匹配规则产生安全事件。3）采用Logstash数据采集框架采集数据，大大提升了接

5、入性能。通过主被动结合的手段，实时地采集用户网络中各种不同厂商的安全设备、 网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些 信息进行集中化存储、备份、查询、审计、告警、响应，出具相关的合规报表报 告，实现全生命周期的日志管理。SIP-Logger主要通过syslog ftp、jdbc、webservice 等方式收集第三方日志，包括： 网络设备（路由器、交换机等）； 安全设备（防火墙、WAF、IDS、IPS等）； 操作系统（windows linux各系列）； 中间件（apache、FTP服务器、邮件服务器、IIS、DNS等）； 数据库（Mysql、Sql server

6、n Oracle 等）共780+款设备的日志。6.1.2 强大的检索查询1）亿级（TB）原始日志查询耗时低于1秒；2）支持统一日志检索，包括精确匹配和模糊匹配等；3）支持多条件组合查询，提供详细的帮助文档。6.1.3 丰富的合规报表支持导出5种类型的报表：主机安全报表（linux） 主机安全报表（windows）、 数据库安全报表、网络设备安全报表、应用安全报表。6.1.4 灵活的部署方式支持单机、分布式采集。6.1.5 简便易用的界面风格系统通过提供入门向导、个人工作台、任务通知、快捷菜单等方式，为用户 提供了简单易用的界面，即使是初次使用深信服日志分析管理系统，也完全能在 较短的时间内掌握

7、。6.1.6 灵活通用的系统设计深信服日志分析管理系统具有极大的灵活性，主要体现在如下几个方面：1）可配置的安全概览等系统功能菜单；2）支持用户自定义的事件关联策略、审计策略；3）灵活的日志标准化解析脚本；4）具有优秀扩展性的第三方接口，如告警外发Syslog与第三方平台对接。6.2 产品价值深信服日志分析管理系统是为了能满足企业的日志集中审计需求，针对信息 安全事件的“可发现”、“可处理”、“可审计”、“可度量”四大目标进行规划和设计的。可告m可发现：具备对海量安全事件的采集、分析、处理报告能力，可以实时动态 展现当前安全事件态势，实时获知异常安全事件或审计违规告警。按需展现各类 关注事件的

8、分布状况，可集中管理各类安全事件和安全资产，能够智能化分析安 全事件对业务系统可能产生的实际影响和危害，减轻通过人工甄别大量事件的工 作难度，提高管理工作效率，降低运维工作负担。发现安全事件风险是为了更好更快的处理。深信服日志分析管理系统具备安全告警功能，可通过技术手段将发现的安全事件告警纳入到日常安全运 维流程中。可审计：具备针对各类信息安全管理标准或要求的日志审计能力，提供针对 诸如等级护要求、sox信息安全审计要求、企业内部下发的信息安全工作要求的 审计策略，支持通过技术手段实现日志审计工作的自动执行、自动核查、自动报 告功能。可度量：针对信息安全事件日志的采集、分析、处理情况，结合信息

9、安全资 产的IT属性，能够实现对企业信息安全情况的分析和审计。深信服日志分析管理 系统可度量企业信息安全的安全水平，给出企业对各种审计要求的符合性程度， 指导企业的信息安全管理和建设工作。7产品应用场景日志代理探针需求：主要解决NAT/代理场景下，统一收集多源头的日志进行归一化后进行 转发，本身不存储日志；弥补在以SIP为核心的解决方案中，SIP在NAT/代理场 景下数据源对接上的不足，增强SIP的整体方案竞争力。预期效果：收集全网出口、安全、交换、服务器等设备日志，对海量日志实 现高速存储、查询，包括共780+款设备的日志。7.1 等保合规场景需求：网络安全等级保护2.0国家标准和网络安全法

10、要求，满足全网日志 统一收集和集中审计。预期效果：通过对海量日志进行集中化存储、备份、查询、审计、告警、响 应，出具相关的合规报表报告，满足日志审计，实现全生命周期的日志管理。声明深信服科技股份有限公司所有，并保留对本文档及本声明的最终解释权和修 改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容, 除另有特别注明外，其著作权或其它相关权利均属于深信服科技股份有限公司。 未经深信服科技股份有限公司书面同意，任何人不得以任何方式或形式对本文档 内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部 或部分用于商业用途。免责条款本文档仅用于为最终用户提供信息，

11、其内容如有更改，恕不另行通知。深信服科技股份有限公司在编写本文档的时候已尽最大努力保证其内容准确 可靠，但深信服科技股份有限公司不对本文档中的遗漏、不准确、或错误导致的 损失和损害承担责任。信息反馈如果您有任何宝贵意见，请反馈至：地 址：深圳市南山区学苑大道1001号南山智园A1栋邮编：518055电话：传真：您也可以访问深信服科技网站：,cn获得最新技术和产品和方案信息。1 概述错误!未定义书签。2 需求背景错误!未定义书签。2.1 法规标准要求错误!未定义书签。2.1.1 等级保护错误!未定义书签。2.1.2 网络安全法错误!未定义书签。2.2 信息安全管理的需要错误!未定义书签。2.3

12、安全技术保障体系建设要求的需要错误!未定义书签。2.4 规范符合性要求的需要错误!未定义书签。3 产品概况错误!未定义书签。3.1 产品定位错误!未定义书签。3.2 深信服日志分析管理系统介绍错误!未定义书签。4产品架构与性能错误!未定义书签。4.1 产品架构错误!未定义书签。4.2 工作原理错误!未定义书签。5产品功能与特性错误!未定义书签。5.1 产品功能错误!未定义书签。5.1.1 数据采集错误!未定义书签。5.1.2 数据范式化错误!未定义书签。5.1.3 数据过滤错误!未定义书签。5.1.4 数据转发错误!未定义书签。5.1.5 数据分析错误!未定义书签。5.1.6 事件分析错误!未

13、定义书签。5.1.7 审计管理错误!未定义书签。5.1.8 告警监控错误!未定义书签。6产品优势与价值错误!未定义书签。6.1 产品优势错误!未定义书签。6.1.1 全面的采集能力错误!未定义书签。6.1.2 强大的检索查询错误!未定义书签。6.1.3 丰富的合规报表错误!未定义书签。6.1.4 灵活的部署方式错误!未定义书签。6.1.5 简便易用的界面风格错误!未定义书签。6.1.6 灵活通用的系统设计错误!未定义书签。6.2 产品价值错误!未定义书签。7 产品应用场景错误!未定义书签。7.1 日志代理探针错误!未定义书签。7.2 日志审计错误!未定义书签。7.3 等保相关错误!未定义书签。

14、1概述对于一般的组织或企业，信息安全防护不可避免地是从防毒/杀毒、防火墙等 基础系统或设备开始的，但是随着信息技术的发展和国内外网络安全形势的日益 严峻，信息安全防护已经不再仅仅满足于单一的防病毒、防火墙。随着各类组织、企业对信息系统的应用不断深入。为了在复杂网络环境下应 付各类安全情况（如黑客的攻击、内部员工的有意或无意地进行越权或违规操作）， 企业部署了大量的、不同种类、形态各异的信息安全产品：为了监控黑客的攻击控制，部署了各种入侵检测或入侵防御设备；为了防范内部员工的非法接入行为，部署了网终端管理、网络准入等系统；为了防止数据的非法泄露或重要数据被修改，部署了防泄漏系统等系统。这些专用安

15、全设备或系统每日会产生各种日志，组织或企业日常业务系统、 主机系统、网络设备等也会产生很多和安全相关的日志，这引起了如下的问题：它们格式差异巨大，没有统一标准；它们数量巨大，用户无法进行重点分析；难以挖掘各类日志之间的关联关系。2需求背景由于各种系统、应用、安全设备、网络设备等日志多样繁杂，给日志审计的 工作带来了巨大的人力消耗，所以企业必然需要部署集中的日志审计系统。通过 建设日志审计系统，企业能够集中采集各类系统中的安全事件、用户访问记录、 系统运行日志、系统运行状态、网络存取日志等各类信息，经过规范化、过滤、 归并和分析等处理流程后，可以以统一格式的日志形式进行集中存储和管理。在此基础上

16、，对日志进行实时的事件分析和审计分析、从而进行实时的事件 监控和异常事件告警，最终实现对各类网络设备、安全设备、操作系统、服务器、 数据库和其它应用进行全面的日志安全审计。2.1法规标准要求等级保护第三级网络安全等级保护基本要求分类安全控制点要求项安全通用 要求-安 全区域边 界女全申计a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个 用户，对重要的用户行为和重要安全事件进行审计b）审计记录应包括事件的口期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息C）应对审计记录进行保护，定期备份，避免受到未预期的删除、 修改或覆盖等d）应能对远程访问的用户行为、访问互联网的用户行

17、为等单独 进行行为审计和数据分析安全通用 要求-安 全计算环 境女全审计a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行 为和重要的安全事件进行审计；b）审计记录应包括事件的日期和时间、用户、事件类型、事件 是否成功及其他与审计相关的信息C）应对审计记录进行保护，定期备份，避免受到未预期的删除、 修改或覆盖等d）应对审计进程进行保护，防止未经授权的中断安全通用 要求-安 全管理中 心集中管控d）应对分散在各个设备上的审计数据进行收集汇总和集中分析， 并保证审计记录的留存时间符合法律法规要求网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制 度的要求

18、，履行下列安全保护义务，保护网络免受干扰、破坏或者未经授权的访 问，防止网络数据泄露或者被窃取、篡改：1）指定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全 保护责任；2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措 施；3)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;4）采取数据分类、重要数据备份和加密措施;5）法律、行政法规规定的其他义务。2.2信息安全管理的需要因为日志审计是日常信息安全管理中最为重要的环节之一；能从纷繁复杂的 日志中萃取出具有价值的部分是各类信息安全管理者、参与者、相关者最大的诉 求，故

19、选择一款高可靠、高性能、具备强大功能的日志集中审计系统就成为必须。 2.3安全技术保障体系建设要求的需要一个完整的信息安全技术保障体系应由检测、保护和响应三部分组成，而日 志审计是检测安全事件的不可或缺重要手段之一。大部分信息系统所依赖的入侵 检测防/御系统（IDS/IPS）系统只能检测部分来自网络的攻击事件，对运维人员的 违规操作、系统运行异常、设备故障等安全事件缺乏监控能力，而这些异常事件 恰恰是内部信息系统主要安全威胁之一。2.4规范符合性要求的需要网络安全法、网络安全等级保护基本要求、互联网安全保护技术 措施规定（公安部82号令）、银行业信息科技风险管理指引、银行业金 融机构信息系统管

20、理指引等等这些都要求提供安全审计功能。此外，国际上的 相关标准、规范也均明确提出信息安全审计系统的重要性，如萨班斯法案、 IS027001等均要求企业对重要系统、设备的运行日志进行保留，并且周期性地进 行第三方审计。3产品概况产品定位深信服日志分析管理系统提供了众多基于日志分析功能，如安全日志的集中 采集、分析挖掘、合规审计、实时监控、日志二次转发及安全告警等，深信服日 志分析管理系统能够同时满足企业实际运维分析需求及审计合规需求，是企业日 常信息安全工作的重要支撑平台。3.1 深信服日志分析管理系统介绍深信服日志分析管理系统能够实时不间断地采集汇聚企业中不同厂商不同种 类的安全设备、网络设备

21、、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及违规事件，并进 行实时的安全日志告警。4产品架构与性能4产品架构产品采用B/S架构操作方式，无需安装客户端软件。4.2工作原理深信服日志分析管理系统的主要功能包括如下模块:展现层综合展现I实时监控I查询I告警|合规报表采集层数据源大数据分析平台I提取I清洗I实时分析I统计分析采集I分类I范式化I过滤I转发主机网络设备安全设备数据库服务器应用系统数据储存存储层采集方式Sys logSNMP Trap Winlogbeat WMI Jdbc Webservice FTP图4.1日志分析管理系统功

22、能架构 采集层：采集各种设备的事件日志，标准化为统一的格式，然后进行过滤、 归并、关联和审计，通过会话解析从海量日志中分析潜在的安全问题，同 时进行相关数据的存储和管理；分析层：系统通过分析引擎，对日志进行关联分析、审计分析和统计分析, 并对异常事件告警策略进行管理； 展现层：综合展现层是深信服日志分析管理系统的展示层。该层通过个人 工作台和安全概览，将整个系统收集、分析、管理的安全事件、告警概况、 会话审计等信息多维度的展现在用户面前。5产品功能与特性产品功能5.1.1 数据采集采集是深信服日志分析管理系统的重要功能模块，它承载了日志或事件采集标 逑化、过滤、归并过能。采集管理是系统进行分析

23、的第一步，用户通过指定需要 采集的目标、相关采集参数（Syslog、SNMP、Trap、Winlogbeat深信服自定义协 议等被动方式无需指定）、相关的过滤策略和归并策略等创建日志采集器，以收 集相关设备或系统的日志。5.1.2 数据范式化接入方式：包括被动接收（syslog、winlogbeat snmp trap） 主动拉取（wmi、 jdbc、Webservice FTP）两大类不同的系统或设备所产生的日志格式是不尽相 同的，这给分析和统计带了巨大的麻烦，所以在深信服日志分析管理系统中内置 了众多的标准化脚本以处理这种情形；即便对于某些特殊的设备，如某个系统的 新型号，您没有发现相关的

24、解析脚本，深信服日志分析管理系统也提供了相应的 定制方法以解决这些问题。5.1.3 数据过滤为了对接收的日志数量进行压缩，深信服日志分析管理系统还提供了数据过 滤功能，在配置数据源时，可以设置需要过滤掉的日志条件，支持多字段过滤， 配置完成后，logstash会根据配置的过滤条件将匹配上的日志丢弃。例如需要过 滤掉源IP为的日志，则配置：源= 即可。也可以配置多个过 滤条件，多个条件之间为AND关系。5.1.4 数据转发支持将归一化后的数据通过syslog协议转发到第三方系统中，包括对接安全感 知平台。当前产品的优势之一：是支持无缝对接安全感知平台，且感知平台可对 接入的数据进行分析。转发配置相对比较灵活，支持如1、2、3台设备的日志转 发到A服务器上；4、5设备的日志转发到B服务器上；或者同时将1、2、3、4、 5设备的日志都转发到A服务器上。5.1.5 数据分析针对数据分析、日志审计，提供审计策略、关联策略。