作为一名企业信息安全管理人员,你有没有被各种安全设备、服务器、网络设备的安全日志搞得焦头烂额?无论是要从各种日志中进行问题分析和定位,还是从日志中提取有用的信息,是不是都像大海捞针一样忙得筋疲力尽收获却总是寥寥?
而且,而且,你们单位里只有你一个安全管理员有木有?
单位这么多安全日志、设备日志,每天就好几万条怎么分析?
面对监管单位的安全检查,重点要求设备安全日志检查,怎么办?
那么在日常工作中,信息安全管理员究竟会面临哪些安全日志审计的问题呢?
日志分散在各地
随着信息化技术的逐渐深入,企业往往采购了多种安全设备,软件、硬件、数据库等。这些设备和系统会分别分布在不同的网络位置,并各自产生日志,且每种安全设备,或网络设备,或者每个厂商都会有各自的控制台进行日志查看,无法集中;
日志格式不统一
企业网络中各种设备类型的日志格式各不相同,各有各的表达,即使是表达同一件事情,也都有各自的表达方式。例如同样的登录失败信息,防火墙中的描述和主机操作系统中的描述格式就可能根本不相同。信息安全管理员不可能了解每种设备的日志格式。
日志量巨大
海量数据带来的是审计效率的低下和审计制度的无用论。一个标准的网络入侵监测系统采用缺省的策略,在一个百兆的链接上每天可能产生超过千万数量的事件,海量的数据常常让我们的安全产品变得没有任何意义,即使经过调整和优化的策略,也充斥着无意义数据和误报。在SANS的调查报告中,对日志管理最大的抱怨依然是如何在海量日志数据中有效识别高级威胁。
日志关联度低
为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此没有明确关联关系的安全信息,显得束手无策,工作效率极低,难以发现真正的安全隐患。
日志无法有效查询
如今的企业,日志审计产品大多以应对等保检查为主,但是上级单位在发现安全威胁和异常时,要求企业进行审计或者追踪威胁时,传统的日志审计系统却无法有效查询或者追溯;
管理职责不明确
日志应该被哪个部门管理?告警由谁来负责和处理?这是个无法界定的难题。网络设备日志应由运维部门监管,但是信息安全部门在进行安全分析时,需要一定的网络设备支持,更不用说服务器和应用系统日志了;
如果想解决以上问题,客户需要日志审计,更需要有效应对上述挑战。客户需要从组织策略、处理流程和技术体系等多方面进行统筹规划,依据相关安全法规和最佳实践,通过统一的日志审计平台,以安全资产管理为基础,以风险管控为核心,以信息安全事件管理为主线,采用深度的数据挖掘、信息安全事件关联等技术,并辅以实时的安全事件关联告警、安全态势与合规呈现、灵活快速的故障搜索等功能,来实现全网安全威胁的统一监控、分析、预警处理,直观展示相关法规标准的符合性状态。
武汉远盟科技推出的安全日志大数据审计平台整体解决方案
为解决以上问题,武汉远盟科技推出多元,异构日志治理整体解决方案(以下简称LogSec),犹如一把利器,让你管理日志游刃有余。
该方案基于成熟的大数据技术,通过主动与被动相结合的方法,实时地采集用户网络中各种不同厂商的网络设备、安全设备、主机、操作系统、以及各类应用系统产生的日志,并将这些信息汇集到安全中心,进行集中化存储、备份、查询、分析、告警和审计,并出具丰富的报告,实现企业日志的全生命周期管理。
解决方案特点
高性能的系统架构
为应对企业产生的海量日志,LogSec通过异步通讯、环形队列、流处理技术、搜索引擎技术等实现对PB级海量异构安全信息进行持续不断的采集、分析和存储。
全面的安全信息采集
LogSec支持多种日志源自动采集。支持日志源安全基线(性能、脆弱性、端口、进程、账号、关键文件等)实时监控。同时LogSec对收集的各种安全信息进行范式化处理,将来自不同设备和系统的各种不同的表述的安全信息进行规范化描述,既能满足复杂分析和存储的要求,又极大的提升了查询性能。
基于CMDB的数据融合
LogSec建立集中、统一、标准的大数据管理和消费平台,为日志属性丰富、安全事件可信筛选、拓扑呈现、运维流程管理等提供底层数据支持。
智能的安全事件分析
基于日志流的安全事件分析和基于CMDB的安全事件可信分析,帮助管理员迅速、准确的识别安全事故,及时做出响应。
基于攻击链的威胁态势呈现
构建新常态下的威胁态势呈现,结合海量数据的分析,形成以新规则为主导,以新分类为依据,以攻击链为引领的新型日志分析平台。
高效的全文检索引擎
系统内置IT SearchEngine,可使用简单易懂的关键词(Keyword)进行搜索、统计分析、故障定位和攻击溯源。
丰富灵活的报表
报表是日志审计系统的必备功能之一。基于LogSec的报表引擎,可以生成各种报表,客户可根据自身需要生成日报、月报、季报等,并支持邮件方式传递。支持PDF、WORD、HTML等格式的报表。
完备的安全性设计
LogSec具有良好的自身的安全等级设计。系统的自身安全性体现在:
o 日志采集器与分析中心之间支持加密通讯
o 日志采集器支持存储转发
o 浏览器访问支持HTTPS协议
o 采用基于角色的访问控制机制
o 用户身份三权分立,内置系统管理员、审计管理员、用户管理员
灵活的业务扩展
平台在日志管理的基础上可以进行无缝扩展,如:资产管理、脆弱性管理、威胁管理、安全态势感知、攻击链条分析、安全运维管理、业务运维管理等。根据业务需要进行安全业务拓展,最终实现企业安全管理的最终目标。
全自动的日志审计平台让你轻松完成安全日志存储、分析、查询、展现的工作;
单位再多安全日志、设备日志,也轻松处理了;领导再也不用担心日志审计这一项会扣分了。
文章来源:https://www.log-sec.cn
文章编辑:武汉远盟科技有限责任公司
LogSec日志大数据审计平台,专业大数据日志审计让企业信息安全管理人员不再“躺枪”