日志收集与分析系统

奇安信日志收集与分析系统可实时不间断地将不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心,实时地对日志和事件信息进行标准化(归一化)、关联分析、行为分析,通过统一的仪表板和报告进行实时动态、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,提高工作效率,降低工作强度。

用户价值
CUSTOMER VALUES
助力网安法和等保合规管理
可集中收集客户的IT基础设施、应用系统、数据库、安全设备等的日志,进行全面采集、集中存储、关联分析,并针对发现的问题进行告警响应。从而满足网安法对日志保存180天的要求和等保2.0中二级到四级的安全审计的要求。
日常安全策略审计
安全审计人员可将安全策略转化为系统关联规则(审计规则),系统通过对采集的日志进行实时或批量的关联分析,发现组织中的违反安全策略的违规行为和安全事件,针对发现的问题进行及时整改,助力组织完善安全策略。
IT运维好帮手
可以为开发人员及应用系统管理员集中提供所有必须的日志文件以方便分析和排查生产故障,而不需要寻求特定的服务器管理员发送的相应数据资料。可以作为组织的IT运维好帮手,提高IT运维人员的工作效率。
安全分析
可以通过收集的日志发现来自组织内部和外部的多种安全攻击和威胁事件,并关联分析判断攻击是否成功以及造成的影响。可与流量分析、沙箱、蜜罐组成大数据安全分析方案,与工单、各类安全设备组成安全响应和处置方案。
产品功能
PRODUCT FUNCTIONS
日志采集
系统支持Syslog、Syslog-NG、SNMP Trap、Netflow等协议被动采集,支持文件读取、日志代理等方式主动采集、支持API、JDBC、WMI等方式交互式采集。
日志标准化
可对日志进行定级、分类,对内容进行丰富和补全。系统保留归一化后的日志的同时也保留原始日志,方便用户对原始日志快速定位和取证。智能化的范化技术提升了解析日志和数据处理的工作效能,使日志审计变得更简明。
事件分析
系统提供强大的混合搜索能力,用户不仅可以对固定的日志范化字段进行搜索,也可以通过关键字进行全文检索,将传统基于范化的日志分析和基于全文索引的日志搜索技术完美的结合起来,为安全分析师提供强大的分析工具。
仪表板
可以快速看到当前企业和组织的整体安全状况。在每个独立的窗口中看到网络中不同维度的实时安全信息,例如事件总量趋势,设备IP分布,设备类型分布,事件类型分布,事件严重程度分布,最近24小时告警等等。
关联分析
关联分析引擎采用可视化编辑方式,用户通过对不同字段的与、或、非等运算符及组合构建复杂关联分析规则,系统支持统计关联、逻辑关联、时序关联等,支持多事件源的关联分析,并可引用规则,多规则嵌套等方式。
报表与报告
系统提供丰富的报表管理功能,预定义了各类服务器、网络设备、防火墙、入侵检测系统、防病毒系统、终端安全管理系统、数据库、策略变更、流量,设备事件趋势报表,满足等保和合规性要求,可根据自身需要进行定制。
产品优势
PRODUCT ADVANTAGE
全面的采集与数据治理
系统提供了丰富的数据治理功能,采用机器学习技术辅助,提供可视化范化能力,使范化更简单,所见即所得。系统可以动态扩展日志属性字段,所有字段均可参与关联分析、查询统计、报表报告等,可以不断扩展审计能力。
精准的溯源定位
提供全球地理信息库,并支持持续升级。可为审计员提供内网IP的地理位置管理,使内外网IP的都有了精准的地理位置信息。这一功能可帮助用户准确、高效地定位威胁来源,以地图方式为用户实时动态呈现全球攻击溯源情况。
强大的交互式分析
多种可视化分析组件可帮助用户对搜索结果进行分析,事件可视化功能以图形化的方式将标准化(归一化)和关联分析后的事件及其事件之间的关系形象展示出来的过程,可视化反映出大量事件之间的相互作用关系。
丰富的二次开发API接口
系统提供了丰富的二次开发接口。用户可以基于二次开发接口与第三方系统进行集成。如通过认证接口进行认证,通过数据接口获取日志审计系统发现的安全违规和攻击威胁等安全告警,获取各类合规统计报表等。
灵活的部署方式
产品形态上分为软件版和硬件版,软件版可以支持物理服务器、虚拟机等多种部署方式,丰富的硬件规格型号满足不同日志处理性能需求。系统支持单节点部署、分布式多节点部署和分级部署模式。
奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们