《【10、日志审计(LAS)】XX大学日志审计解决方案-精品文档整理.docx》由会员分享,可在线阅读,更多相关《【10、日志审计(LAS)】XX大学日志审计解决方案-精品文档整理.docx(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 XX大学安全审计现状XX大学是一所以海洋和水产学科为特色,包括理学、工学、农学、医(药)学、经济学、管理学、文学、法学、教育学、历史学、艺术学等学科门类较为齐全的教育部直属重点综合性大学,是国家“985工程”和“211工程”重点建设高校之一,是国务院学位委员会首批批准的具有博士、硕士、学士学位授予权的单位。校训是海纳百川,取则行远。XX大学网络信息中心依托完善的网络资源、强大的技术能力和多年为学校进行网络服务所积累的丰富运营经验,成功地为XX大学提供了信息化解决方案。随着网络中心业务量的不断发展、壮大, 为应对:1. 不断增长的基础设施信息量2. 不断增长的业务数量3. 不断提高的事件处理
2、时限需求4. 网络事件事后查询需求5. 网络事件统计分析需求网络中心计划利用日志审计系统 整合内部分散的基础设施信息资源,提升基础设施日志的收集、关联能力。2 网神SecFox-LAS日志审计解决方案针对XX大学对日志审计的需求,网神结合自己在安全审计与管理领域深厚的技术积累和丰富的行业领域知识积累,设计了一套综合日志安全审计解决方案。2.1 实现目标1、海量日志数据的集中审计管理。采集信息系统IT基础设施日志信息,规范日志信息格式,实现海量日志数据的标准化集中存储,同时保存日志信息的原始数据,规避日志信息被非法删除而带来的安全事故处置工作无法追查取证的风险;加强海量日志数据集中管理,特别历史
3、日志数据的管理。2、系统运行风险及时报警与报表管理基于标准化的日志数据进行关联分析,及时发现信息系统IT基础设施运行过程中存在的安全隐患,并根据策略进行及时报警,为运维人员主动保障系统安全运行工作提供有效的技术支撑;实现安全隐患的报表管理,更好地支持系统运行安全管理工作。3、为落实有关法律法规提供技术支撑利用安全审计结果可以评估国家法规和行业监管中有关安全管理和审计规定的落实情况,发现存在的问题,为完善网络信息安全管理和审计提供依据,持续改进,进一步提高安全管理和审计水平。4、落实业务数据审计通过审计系统能及时发现业务数据访问中的违规行为,并能进行有效的监控,对违规行为进行追查。2.2 平台选
4、型根据对日志审计需求和实现目标的分析,建议选用网神的网神SecFox-LAS日志审计系统, SecFox-LAS日志审计系统具有成熟和完整的体系架构,在日志收集、日志分析、数据挖掘和符合性管理等关键技术领域处于业界领先的位置。SecFox-LAS日志审计系统提供了对大多数主流设备、操作系统和应用系统日志格式的支持,不支持的设备可通过系统提供的功能定制开发。2.3 系统自身安全性设计作为安全审计类产品,日志审计系统自身具备完善的安全性保证,包括:l 系统内部的各个组件之间通信都支持加密传输,例如浏览器访问管理中心支持HTTPS、通用日志采集器(GLC)与管理中心之间采用加密压缩协议进行传输、多级
5、管理中心之间采用加密协议进行传输,等等,保证网络通讯的机密性。l 系统对采集到的日志都进行了加密存储,保证数据的完整性和机密性。l 系统具备自身运行健康状态监视功能,存储的数据支持自动备份和恢复,保证系统的可用性。l 硬件型产品,底层的操作系统是安全操作系统。2.4 性能和存储空间本项目中日志审计系统按所有设备产生的总事件量平均按500条/秒,每条日志0.8KB为标准计算,所有设备每天的总日志条数为4320万条,总日志量约为35G。系统设计支持在线存储和离线存储两种方式对数据进行存储。在线存储按一个月计算,需要大约1T的空间,加上索引和系统自身的空间,大约需1.5T的存储空间。离线存储是压缩存
6、储,压缩比为10:1,根据审计要求,原始信息及审计结果需保留6个月-1年,按最长1年计算大约也需要1.5T的空间。所以日志审计系统的有效存储容量最少在线存储空间加上离线存储空间,是3T。事件存储解决方案,事件在做存储时使用的解决方案是将每天所有的事件原始消息和事件解析后的结果存放在一个事件表中,这个表每天会自动产生一个,也是时间备份归档的对象,该表可供普通查询和高级查询使用;另外同时会将事件的原始消息保存在一个nosql的文件中,以便查询任务使用,查询任务会从nosql中进行查询,同时在返回结果时会重新加载解析文件以便用户得到解析后的结果。新增2.5 部署方案SecFox-LAS产品采用B/S
7、架构,管理员无需安装任何客户端软件,通过IE浏览器登录管理中心即可进行各种操作。一般来说,可将SecFox-LAS管理中心服务器放置在网管中心或者安全中心区域,然后对被审计对象进行必要的配置,使得他们的日志信息能够发送到管理中心。管理员通过浏览器可以从任何位置登录管理中心服务器,进行各项操作,如下图所示:标准部署模式对于Windows操作系统、Symantec防病毒系统以及中间件系统,由于它们自身没有通过网络接口发送日志的能力,因此要安装日志传感器,将日志主动地采集并发送到管理中心。各设备日志采集方式如下表所示:设备类型日志采集方式备注Array负载均衡Syslogjuniper防火墙Sysl
8、og核心交换机Syslog汇聚交换机Syslog华三的交换机SyslogWindows服务器日志采集器可以使用一个日志采集器集中采集其他windows服务器的事件,这些服务器上免安装代理插件。Linux服务器Syslog 2.6 产品型号规格根据XX大学日志审计系统的设计方案和部署方案,本项目涉及的网神日志审计产品的型号和规格建议采用网神SecFox-LAS-R7000-X241M硬件型设备,或者用户自己购置高性能服务器,购买网神的网神SecFox-LAS软件版本。注:日志采集器免费,按需部署即可。2.7 功能设计2.7.1 智能监控频道智能监控频道(SecMonitor Channel)为用
9、户提供了一个从总体上把握企业和组织整体安全情况的界面。通过智能监控频道,用户可以快速导航到SecFox-LAS的各个功能界面,可以看到当前企业和组织的整体安全等级。通过智能监控频道,用户可以以电视墙的形式,在每个独立的窗口中看到网络不同方面的实时安全信息,例如资产信息概要统计,最近5分钟的安全事件走势,最近1天的安全日志走势,最近最严重的安全事故,等等。通过这种方式,企业和组织的管理者可以方便地进行全网的安全态势监控。用户可以根据角色的不同来定义监控频道,也可以根据所关注的业务系统来定义监控频道,每个监控频道中的窗口布局都能够自己决定:可以是两列布局,也可以是三列或者四列布局,每个窗口中显示的
10、摘要信息也能够自行选择。监控频道中的每个窗口都能够移动、放大、缩小,窗口中显示的统计和摘要信息都能够点击、下钻(Drill Down)、查看明细。监控频道能够最大化显示,作为运维中心的主控界面,在大屏幕或者投影银幕上呈现出来。2.7.2 资产管理ISO17799-2005中对资产的定义是:“任何对组织和企业有价值的事务”。设备资产是企业和组织的IT环境的核心,承载了当今绝大部分企业和组织的业务。重要的资产的安全决定了企业和组织的核心竞争力和命脉。企业安全管理的一个很重要的工作就是确保资产安全,评估和分析在遭受安全威胁的情况下资产的受影响程度,从而进行企业和组织的安全风险管理。SecFox-LA
11、S为用户提供了一个管理各类设备资产的资产库。所有资产(保护对象)都以树形结构(管理域、安全域)进行组织和展示,并能够以此作为权限分配的依据,实现设定某人监控某些资产的需求。SecFox-LAS按照安全域的方式组织设备资产,提供便捷的资产添加、修改、删除、查询与统计功能,便于安全管理和系统管理人员方便地查找所需设备资产的信息。同时,对于每个资产,用户可以对其关键度进行赋值。用户可以在资产管理界面中查看当前安全域的资产统计摘要,可以实时的了解当前设备资产的不同等级的安全事件发生情况,并随时查看事件明细。特别地,借助SecFox安全管理系统的资产动态属性(Asset Dynamic Attribut
12、e)技术,SecFox-LAS打破了传统的资产存储关系型数据库表模式导致的属性固定的弊端,用户可以对资产属性进行无限扩展。例如,用户可以根据自身的需要为资产增加业务重要性属性、增加资产保护等级属性、增加资产品牌、代号等任何信息。同时,所有这些附加资产属性随时都可以作为查询条件进行检索,也可以作为事件关联分析时的规则的一部分。2.7.3 实时监视实时监视是SecFox-LAS的核心,用户可以通过实时监视界面对来自网络中各种IT资源的日志进行集中统一的监视。借助SecFox-LAS基于场景的行为分析(Scenario-based Behavior Analysis)技术,用户可以定义不同的实时监视
13、场景,从不同的观察侧面对海量的日志进行准实时分析,对安全事件进行下钻、关联、统计、时序分析。所有的实时监视条件都以场景的方式列举出来,用户可以方便的在各种分析场景之间快速切换,就像切换电视频道一样,大大提高分析工作的效率。如上图所示,显示了Windows操作系统的审计场景树。SecFox-LAS内置了大量的分析场景,用户无需学习,部署好系统后即可开展审计操作。SecFox-LAS也允许用户自定义场景,并对场景进行树型结构的分类和归档。SecFox-LAS提供了一套强大的日志实时分析与审计工具,使得用户可以便捷、高效地进行各项操作,将主要的精力从发现和查找问题转到解决问题上来。以下分别说明。2.
14、7.4 事件追溯SecFox-LAS作为一个审计系统,不仅能够将采集到的日志归一化成标准事件,同时也保存了日志的原始信息。同时,多条事件通过关联分析引擎变成一条关联事件后,原始事件依然保存在数据库中。这样,用户能够对任何原生事件、衍生事件,甚至原始日志报文进行查询,无一遗漏,确保审计链的完整性。在实时监视中,对于关联事件,用户可以进行追溯,查看导致该关联事件的所有原始事件。2.7.5 事件定位SecFox-LAS独有的iGPS事件全球定位系统(incident Global Position System)能够在世界地图上实时定位事件源/目的IP地址的地理位置。通过这种事件可视化技术,用户可以
15、直观地定位到事件的来源和目标。SecFox-LAS可以通过内置的世界地图进行定位,也可以通过Google Earth进行定位。2.7.6 事件趋势分析在实时监视过程中,用户可以对关心的事件IP地址进行趋势分析,对一段时间内的网络流量或者网络连接数进行时间切片统计,并描绘趋势曲线。2.7.7 事件可视化用户在实时监视的事件列表中选中若干条事件后,点击“可视化”按钮,就可以进行事件可视化操作。通过SecFox-LAS独有的AID主动事件图(Active Incident Diagram),系统能够将数千条事件记录及其这些事件之间的关联关系变成一幅事件图,形象地展现出当前网络安全状态,一目了然。2.
16、7.8 事件调查在实时监视中,SecFox-LAS为用户提供了一套进行深入的日志审计与追踪的工具事件调查工具。借助网御神州独有的启发式事件搜索技术(Heuristic Event Searching Technology),管理员通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索。例如,管理员通过审计某条日志记录发现某用户违规访问一个敏感的外部IP地址,那么管理员可以通过事件调查工具查找最近5分钟内访问同一个敏感外部IP的其它用户的日志记录,从而追踪违规行为;管理员也可以查找某个日志记录中目的端口的含义,是MSN端口?还是BT端口?抑或是蠕虫端口
17、?等等,从而快速了解当前用户的行为特征。2.7.9 事件分配用户在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注,可以将该事件分配到黑白名单中。黑白名单建立了该属性的一个集合,可以被反复用于过滤器和关联分析规则的制定。2.7.10 事件查询新增了各个查询方案的截图事件查询为用户提供了历史日志和事件查询的手段。用户可以设定复杂的查询条件,从海量的历史事件数据库中快速检索到需要的日志/事件信息,从而协助管理员进行计算机取证分析,收集外部入侵或者内部违规的证据。系统提供四种查询方式:普通查询、高级查询、快速查询和查询任务。普通查询是指通过指定基本的查询条件及其组合进行查询的方式。用户可以
18、指定的查询条件包括:日志类型、日志接收时间、日志等级、源/目的地址、源/目的端口、日志源设备地址、日志源设备类型、日志操作类型、日志结果类型,等等。图一:检索包含错误关键字的事件图二:查询结果高级查询是指基于场景的行为分析技术(SBA)的查询方式。在高级查询方式下,用户可以自定义复杂的查询场景,从而随时可以调用、随时查询。系统也内置了大量的预定义查询场景。在建立查询场景的时候,系统允许用户使用任意的查询条件组合。图三:服务器登录失败事件快速查询是指在系统配置时根据用户使用查询的习惯和所查询日志量大小的实际情况,将用户所关注的事件较高和事件量较小的事件通过设置过滤条件进行单独存储,用户在查询这类
19、事件时避免了从海量事件中查询很小日志量的情况,大幅提升查询速度。图四:从包含关键字login的事件表中查询图五:快速查询结果查询任务是指将用户所关注的事件而且可能比较耗时的查询,做成一个查询的调度任务,让系统在后台定时的执行查询任务,用户可以在查询任务执行完成后,直接下载查询结果,避免了用户查询等待的时间。图六:添加查询任务图七:查询任务调度完成结果,可下载在事件查询中,用户还可以对一段历史事件进行事件行为分析(Event Behavior Analysis,简称EBA)。EBA将一段时间内的事件按照不同的属性进行排列和连接,形象地展示在坐标轴上,让管理员一目了然的看到事件所代表的用户(IP)
20、行为。2.7.11 统计分析SecFox-LAS的统计分析是指针对一段时间内的历史事件进行统计和呈现。通过统计分析,用户可以清晰的把握过去一段时间内全网的安全态势,例如各类事件发生的情况、按IP/设备类型的严重事件排行、异常和违规事件的统计分布,等等。系统采用基于场景的行为分析技术(EBA),预定义了大量的统计场景,只需点击即刻观察到统计结果。用户也可以自定义任何需要的和复杂的统计场景。所有统计结果都以柱图、饼图等形式展示出来,并可以生成各种格式的报表导出。2.7.12 趋势分析SecFox-LAS能够进行日志流量的趋势分析,通过采集NetFlow数据流或者防火墙的网络流量日志,对最近一段时间
21、的网络流量或者网络连接数进行统计,并描绘趋势曲线。通过某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,并发现异常流量和行为。SecFox-LAS允许用户定义不同的趋势分析场景,从不同的观察角度对来自企业和组织中的各类IP地址进行流量比较和分析。趋势分析场景的客户价值就在于每个场景都可以反复调用,省却了用户反复指定查询条件麻烦。2.7.13 告警关联规则SecFox-LAS在日志分析引擎的驱动下,根据告警规则,针对来自企业和组织的海量事件进行实时分析,抽取出对于安全管理人员真正有用的安全信息,从而协助安全管理人员快速识别安全事件,进行日志审计。SecFox-LAS告警规则具有如下特性:
22、规则分为系统预定义规则和用户自定义规则两大类 用户在制定规则的时候,既可以设定审计的触发条件,也可以设定触发审计后的自动响应动作 修订告警规则无需重启系统或者某个模块,规则一旦被应用立即生效 规则编写支持各种运算符,还支持引用外部资源,包括过滤器、资产属性、自定义资源、递归规则、过滤器插件、黑白名单,等等用户可以对规则触发条件设置计数。通过技术设置实现具有某些相同属性的事件的归并关联,从而发现某些攻击行为,例如水平端口扫描、垂直端口扫描、DoS攻击,等等。在审计出安全事件并告警后,监控管理人员能够及时进行响应处理(发送邮件、SNMP Trap、执行程序脚本,等等)。下表列举了SecFox-LA
23、S的响应机制:响应方式说明设置告警属性设置通过规则引擎生成新的告警属性运行参数应用程序脚本运行用户指定的某个程序的CLI程序,并能够将告警属性作为参数传递给CLI程序设备联动自动执行一组针对第三方网络设备或者安全设备的联动指令发送电子邮件发送一封电子邮件给指定人发送SNMP Trap发送snmp trap信息到指定IP发送一个事件到网管系统例如发送给HP OpenView NNM发送一个事件到服务台系统例如发送给HP Service Desk,或者BMC将攻击者或受害人添加到黑白名单中将产生该关联事件的重要原始属性添加到黑白名单中,供管理员重点观察。对于加入黑白名单的资产,管理员可以设定观察周
24、期带外响应指通过网络之外的方式进行告警响应,避免由于网络故障导致告警不可达。包括发送手机短消息2.7.14 报表管理SecFox-LAS具有强大的报表分析功能。系统的报表分析引擎能从多种角度多种维度对数据进行分析;能提供实时分析、历史分析等分析手段;能对比统计的结果,分析数据的发展趋势;能将结果以图形方式(柱图、饼图、曲线图等)显示、打印;报告可用PDF、HTML、Excel、CSV或RTF等格式存档。SecFox-LAS的报表报告生成系统灵活易用。它提供大量预定义的报表模板,用户可使用预定义的报表模板生成报表。SecFox-LAS具备强大的自定义报表功能。用户可以通过报表编辑器,只需4步,即
25、可方便地自己定义各种复杂的报表,包括报表的内容、布局,以及运行调度设置,满足企业和组织自身不断业务发展的需要。SecFox-LAS允许用户对报表生成进行日程规划,定期自动生成审计报表,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。SecFox-LAS为用户提供了超过100种报表。SecFox-LAS的报表系统包括但不限于以下类别的报表: Top10报表:可以按照访问是否成功细分 主机流量报表:按照接收,发送和总体细分 协议流量报表:按照接收,发送和总体细分 用户使用流量报表:按照接收,发送和总体细分 Web使用情况报表:按照主机和用户类型细分 远程访问情况报表:按
26、照主机和用户类型细分2.7.15 系统管理2.7.15.1 系统配置SecFox-LAS的系统管理员可以通过系统管理中的系统配置对SecFox-LAS系统自身进行各种参数配置,包括数据的备份与恢复、系统自身运行状态的监控,等等。2.7.15.2 系统自身健康监视SecFox-LAS具有完善的系统自身健康监视功能,能够对系统自身运行状态进行检测,包括系统CPU和内存利用率,存储可用容量,当前EPS值,等等,确保安全管理平台自身的可靠性。 2.7.15.3 系统日志用户对本软件系统的操作都记录日志并进行持久化存储,便于追踪、审核和告警。系统日志格式的属性包括:时间、源IP、用户名、操作类型、操作说
27、明、操作结果(成功/失败)。用户可以针对系统日志进行各种查询。2.7.16 权限管理SecFox-LAS是一个多用户系统,不同的用户可以具备不同的权限。这意味着不同权限的用户可以使用SecFox-LAS的全部或者部分功能。SecFox-LAS采用基于角色的权限管理机制。通过权限管理,管理员可以为不同的用户分配角色,指定该用户能够使用的功能。2.8 功能特点SecFox-LAS日志审计系统的主要特点包括以下十个方面:1) 统一日志监控2) 全面的日志采集手段3) 丰富的日志类型支持4) 灵活的部署模式5) 遵照合规性要求的日志审计6) 日志归一化和实时关联分析7) 高性能日志采集分析和海量存储8
28、) 启发式事件追踪9) 可视化日志分析10) 快速响应和协同防御2.8.1 统一日志监控SecFox-LAS将企业和组织的IT资源环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对IT环境的安全信息(日志)进行统一监控。统一安全监控给客户带来的直接收益就是态势感知(Situation Awareness)。通过态势感知,客户实现对全网综合安全的总体把控。态势感知的核心客户体验是SecFox特有的智能监控频道(SecMonitor Channel):每个频道包括多个监控窗口,可以显示多方面的安全信息,窗口可
29、以缩放、可以移动换位、可以更换布局、可以调台,显示管理员想看的内容。SecFox-LAS提供丰富的频道切换器,用户可以在不同的频道间切换。同时,用户也可以自定义频道。态势感知不是简单的信息堆积和罗列,这些信息是统一收集并归一化之后的信息,是用一种共同语言表达出来的。否则的话,不同的事件用各自的语言表达出来,意思各不相同,用户就会陷入管理的泥沼。借助SecFox-LAS的统一日志监控,用户不必时常在多个控制台软件之间来回切换、浪费宝贵的时间。与此同时,由于企业和组织的所有安全信息都汇聚到一起,使得用户可以全面掌控IT环境的安全状况,对安全威胁做出更加全面、准确的判断。借助SecFox-LAS,用
30、户可以进行细致深入的安全日志查询、分析、审计,出具各种审计报表报告。2.8.2 全面的日志采集手段SecFox-LAS能够通过多种方式全面采集网络中各种设备、应用和系统的日志信息,确保用户能够收集并审计所有必需的日志信息,避免出现审计漏洞。同时,SecFox-LAS尽可能地使用被审计节点自身具备的日志外发协议,尽量不在被审计节点上安装任何代理,保障被审计节点的完整性,使得对被审计节点的影响最小化。SecFox-LAS支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA、内部私有TCP/ UDP等网络协议进行日志采集。针对能够产生日志,但是无法通过网络协议发送给
31、SecFox-LAS的情形,系统为用户提供一个软件的通用日志采集器(Generic Log Collector,简称GLC,也称为事件传感器)。该日志采集器能够自动将指定的日志(文件或者数据库记录)发送到审计中心。例如,针对Windows操作系统日志、Norton的防病毒日志,等等。如果客户网络中无法采集日志,则可以在网络中部署一个硬件探测器 SecFox-LAS的硬件探测器是选配件,下同。设备主动的收集网络中的通讯信息,转化为日志,并传送给SecFox-LAS。例如,该硬件探测器可以旁路部署在数据库系统所在的交换机旁边,侦听并分析数据库访问操作的指令,并转化为操作日志送到SecFox-LAS
32、审计中心。可见,SecFox-LAS中的日志已经超越了传统日志的概念,真正实现了对全网IT资源的日志产生、收集、分析和审计。2.8.3 丰富的日志类型支持SecFox-LAS能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。目前,SecFox-LAS能够审计的日志类型和内容如下表所示 产品支持的日志类型在不断更新,如需要最新的日志类型支持情况请向网御神州索取。:审计日志类型审计日志内容Windows操作系统账户登录日志账户管理日志目录服务访问日志审核登录日志对象访问日志审核策略更改日志
33、特权使用日志详细跟踪日志审核系统日志文件操作日志:指定目录下的文件/子目录修改、删除日志操作系统性能日志*NIX操作系统(Solaris、 HP-UX、Linux、 AIX等)账户登录注销日志服务启停日志帐户管理日志su日志MODEM活动日志FTP会话Web访问日志防火墙、VPN(网御神州、天融信、启明星辰、联想网御、东软、H3C、Cisco、Juniper、CheckPoint、Array等)安全规则日志:IDS阻断日志连接阻断日志连接通过日志 NAT日志代理日志IDS日志VPN日志用户认证日志内容过滤日志病毒过滤日志设备状态日志HA日志设备性能日志交换机/路由器(Cisco、华为、H3C、
34、神州数码等)操作日志设备故障日志设备性能日志设备状态日志:例如端口开关,设备启动与停止,等等负载均衡、流控设备(F5等)操作日志设备状态日志系统日志入侵检测系统、入侵防御系统(网御神州、天融信、启明星辰、联想网御、H3C等)入侵告警日志系统规则库升级日志系统登录注销系统启停防病毒系统、防病毒网关(网御神州、McAfee、Norton、金山、江民、瑞星等)病毒日志攻击日志病毒扫描日志漏洞扫描日志防病毒系统配置变更日志病毒库升级日志系统启停系统登录注销WEB服务器(MS IIS、Apache、Tomcat等)系统日志错误日志访问日志数据库系统(SQL Server、DB2、Informix、Syb
35、ase等)系统日志访问操作日志错误日志中间件系统(WebLogic、IBM WebSphere等)系统日志错误日志访问日志应用系统安全账户锁定日志登录失败日志连接阻断日志登录尝试日志QQ使用日志MSN使用日志常见网络病毒常见网络游戏常见P2P下载日志远程登录FTP登录和注销日志Telnet登录和注销日志通用日志Syslog日志Snmp trap日志Netflow日志SecFox-LAS目前支持国内外大部分主流的设备、系统品牌和型号。特别地,如果部署了SecFox-NBA(业务审计型)数据库审计探针,则能够透明地获取数据库的各种操作记录。SecFox-NBA(业务审计型)探针能够对多种操作系统平
36、台下各个品牌、各个版本的数据库进行审计。产品能够审计的数据库系统包括:l Oracle 8i / 9i / 10g / 11gl 微软SQL Server 2000 / 2005 / 2008l IBM DB2 7.x / 8.x / 9.xl IBM Informix Dynamic Server 9.x /10.x /11.xl Sybase ASE12.x / 15.xl MySQL 4.x / 5.x /6.x产品能够审计的数据库运行平台包括:Windows、Linux、HP-UX、Solaris、AIX。SecFox-NBA(业务审计型)能够深入细致地对数据库的各种操作及其内容进行审
37、计,并且能够用户通过各种方式访问数据库的行为。系统审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。如下表所示:操作行为内容和描述用户认证数据库用户的登录、注销库表操作CREATE,ALTER,DROP等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令记录操作SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令权限管理GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作
38、指令,以及备份、恢复操作指令等系统不仅能够审计数据库操作请求,还能审计操作的返回结果,包括成功或者失败。如果失败,能够审计到返回的错误码。2.8.4 灵活的部署模式SecFox-LAS的部署方式十分灵活,对网络环境的适应性极强,既能够支持单一的中小型网络,也支持跨区域、分级分层、物理/逻辑隔离的大规模网络。SecFox-LAS产品分为软件形态和硬件形态两种,用户可以根据自身需要选择。针对单一的网络,用户既可以购买软件版,也可以购买硬件版,只需要将系统以单一(Stand-alone)部署的模式安放在任何网络可达的位置即可,无需更改现有网络的任何拓扑结构。系统安装上线后,将网络中设备、应用和系统的
39、日志发送目标地址指向审计中心即可。针对物理/逻辑隔离的网络环境,用户可以选购具有多端口采集(Multi-Port Collection)功能的SecFox-LAS硬件型产品。例如,针对电子政务网络中典型的内外网隔离的情况,SecFox-LAS支持两个日志采集端口,分别采集内网和外网的日志信息,并借助权限管理功能,分别进行内网和外网的日志审计。同时,借助SecFox-LAS的事件关联分析引擎,还能够发现跨内外网的违规行为。再例如,SecFox-LAS支持同时采集多个VLAN中的设备、应用和系统的日志信息。针对跨区域、分级分层的大规模网络,SecFox-LAS支持主从式(Master-Slave)
40、部署模式。首先,在不同的物理节点上部署多套SecFox-LAS系统;然后,借助SecFox-LAS内置的级联功能,可以实现一对多的主从式连接,即多个从SecFox-LAS系统将指定的日志和告警汇集到主SecFox-LAS系统。通过主从式部署,实现了大规模网络尤其是跨广域网环境下的日志综合审计。最后,SecFox-LAS还支持混合(Hybrid)部署模式。如果客户网络中无法采集日志,则可以在网络中部署一个硬件探测器设备或者SecFox-NBA网络行为分析系统主动收集网络中的通讯信息,转化为日志,并传送给SecFox-LAS。例如,该硬件探测器或者SecFox-NBA网络行为分析系统采用旁路部署(
41、共享Hub/交换机端口镜像/网络分接TAP)的方式放置在数据库系统所在的交换机旁边,侦听并分析数据库访问操作的指令,并转化为操作日志送到SecFox-LAS管理中心。2.8.5 日志归一化和实时关联分析SecFox-LAS收集企业和组织中的所有安全日志和告警信息,通过归一化和智能日志关联分析引擎,协助用户准确、快速地识别安全事故,从而及时做出响应。日志归一化是SecFox-LAS区别于传统安全日志审计系统的关键特征。SecFox-LAS将异构的日志变成系统可识别的统一的日志,屏蔽了不同厂商以及不同类型的产品之间的日志差异,使得日志关联分析成为可能;而传统的日志审计系统仅针对原始日志的时间、源/
42、目的IP地址等信息进行简单分解,其他主要内容则原封不动,全部存储在数据库中,仅仅提供普通的日志查询功能。更加地,SecFox-LAS在进行日志归一化的同时,还保留了原始日志记录,便于将来进行具有司法证据效力的调查取证分析。实时关联分析是SecFox-LAS的核心,也是该系统区别于传统安全日志审计系统的最关键特征。正是通过关联分析,将来自不同信息源的日志融合到一起,发掘出日志之间的关系,找到真正的外部入侵和内部违规。外部入侵和内部违规行为从来都不是单一的行为,都是有时序或者逻辑上的联系的,黑客的攻击和内部的违规操作往往是分为若干步骤的,每个步骤都会在不同的设备和系统上留下蛛丝马迹,单看某个设备的
43、日志可能无法发现问题,但是将所有这些信息合到一起,就可能发现其中的隐患,而这正是关联分析的目的所在。很重要地,关联分析必须是实时的,SecFox-LAS在采集和归一化日志后,一方面将日志存入数据库,另一方面同步地在内存中(In-Memory)进行实时关联分析。实时性确保了日志被及时审计,同时能够快速发现安全隐患。实时关联分析的核心是SecFox独有的基于安全监测、告警和响应技术(Security Monitor, Alert and Response Technology,简称SMARTTM)的事件关联分析引擎。在关联规则的驱动下,SMARTTM事件关联分析引擎能够进行多种方式的事件关联,包括
44、统计关联、时序关联、单事件关联、多事件关联、递归关联,等等。SecFox具有国内绝对领先的事件关联分析核心技术,申请了2项专利技术,拥有完全自主知识产权。2.8.6 高性能日志采集分析与海量存储SecFox-LAS可以将采集来的所有日志、事件和告警信息统一存储起来,建立一个企业和组织的集中日志存储系统,实现了国家标准和法律法规中对于日志存储的强制性要求,降低了日志分散存储的管理成本,提高了日志管理的可靠性,消除了本地日志存储情况下可能被抹掉的危险,也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。SecFox-LAS具有海量日志接收和存储的能力。一台SecFox-LAS-R4系统接
45、收的速率峰值能够达到30000条每秒,以平均每秒6000条的规模处理和关联分析日志,并能够在线存储 在线存储是指将数据放置于SecFox-LAS在线分析系统中,用户可以随时查询和分析这些数据。相对地,离线存储是指将数据压缩后放置于SecFox-LAS的归档系统中。多达10亿条日志记录,相当于管理约800G的数据量。加上系统的数据归档与离线存储功能,SecFox-LAS能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。借助SecFox-LAS分布式部署的方案,日志存储性能还能提升。SecFox-LAS在进行数据管理的时候,对数据存储算法进行了充分优化,使得使用小型数据库的情况下就达到了上述性
46、能。此外,用户在使用本系统的时候,无需购买额外的数据库管理系统和许可,也不必花费专门的精力去维护数据库,这些都大大降低了用户的总拥有成本。SecFox-LAS提供多种日志存储策略,能够方便地进行日志备份和恢复。2.8.7 启发式事件追踪SecFox-LAS具备强大的事件追踪能力。借助事件关联分析技术和数据挖掘技术,系统具备启发式事件追踪(Heuristic Event Tracing)功能,用户可以对任何可疑事件进行追踪,帮助管理员一查到底,方便、快捷、高效。例如,用户根据统计图表显示的内容可以查看事件明细,对于明细记录可以进行事件定位,可以查看事件图,也可以对某条事件中感兴趣的源IP地址、目
47、的IP地址、或者目的端口进行相关性日志进行追溯和追踪。同时,该追踪过程可以递归进行下去,直到找到用户关心的日志。2.8.8 可视化日志分析事件可视化(Event Visualization)是指SecFox-LAS以图形化的方式将归一化和关联分析后的事件及其事件之间的关系形象展示出来的过程。事件可视化不是简单的柱图、饼图、曲线图等统计趋势图表的展示,必须反映出大量事件之间的相互作用关系。事件可视化是实时的,将安全管理和运维人员从繁重的事件查看工作中解脱出来,及时直观地进行事件调查,发现安全威胁。SecFox-LAS具备强大的事件可视化能力,变用户日常安全管理的认知为感知。SecFox-LAS的安全事件可视化包括:1. iGPS事件全球定位系统(incident Global Position System):在世界地图上实时定位源/目的IP地址的地理位置。系统内置世界地图,也支持通过Google Earth进行定位。2. AID主动事件图(Ac