日志審計與分析系統(LAA)
產品概述
威努特日志審計與分析系統是工業控制網絡中軟硬件資產日志信息的統一審計與分析平臺,該產品能夠實時將工業控制網絡中不同廠商的網絡設備、安全設備、服務器、操作員站、數據庫系統的日志信息,進行統一地收集、處理和關聯分析,幫助一線管理人員從海量日志中迅速、精準地識別安全事件,及時對安全事件進行追溯或干預,滿足網絡安全法對日志保存6個月以上的要求。
產品特點
高效的日志采集、分析能力
產品可實現高速、海量、異構、分散的日志數據采集,可以靈活配置日志范化、增強、過濾與歸并,支持可視化日志范化,具有日志動態建模能力。
基于大數據的日志存儲架構
產品采用基于大數據架構實現日志存儲,可實現日志結構化存儲以及原始日志的非結構化存儲與全文索引。
基于機器學習的日志識別
產品基于聚類分析的機器學習算法,可實現海量日志信息的自動范化和精準識別。
高效的數據搜索引擎
產品內置4種交互式安全分析模式,具備強大的即席查詢能力和批量分析能力,綜合范化字段與大數據全文索引技術構建的交互式數據搜索引擎,為用戶提供及時查詢的審計支撐。
智能化安全事件關聯分析引擎
產品采用分布式關聯分析架構,適用于大規模日志關聯分析場景,支持實時關聯和歷史關聯,具備邏輯關聯、統計關聯和情境關聯(資產關聯、脆弱性關聯、威脅情報關聯)能力,提供多種類型的安全策略包,內置1000+場景分析策略,提供可視化規則編輯器。
產品功能
采集方式
支持SNMP Trap、Syslog、WMI、(S)FTP、NetBIOS、ODBC/JDBC、文件/文件夾、OPSEC等多種方式完成日志收集功能。
日志范式化
-
實現對異構日志格式的統一化描述,范式化字段可根據審計需要靈活擴展,并可參與關聯分析;
-
可自動識別收集的日志并自動選擇范化策略,無須人工指定;
-
支持日志進行聚類分析,能夠對原始日志模式進行自動識別。
日志傳輸和存儲轉發
-
支持日志加密傳輸、定時傳輸和斷點續傳;
-
支持根據轉發條件,將采集后的數據轉發到其他的目標地址。
日志過濾
日志源管理
-
支持對日志源進行白名單管理,系統只采集白名單內的日志。
日志存儲
-
支持全文索引;
-
支持日志數據的備份恢復功能;
-
支持原始日志和范式化后的日志的同時存儲。
日志交互分析
-
支持對安全事件進行非格式化的文本式處理,可將原始信息進行自動索引,快速搜索分析各類安全事件;
-
支持自定義事件搜索條件,建立搜索分析策略樹;
-
支持時間段內的動態事件移動圖;
-
支持事件可視化展示能力,包括事件拓撲圖、動態事件移動圖、事件統計圖、餅狀圖、折線圖、堆積圖等。
日志統計分析
-
支持自定義統計場景,統計的條件和時間段可自由設定;
-
支持柱狀圖、餅圖、折線圖、地圖等形式的統計信息可視化展示。
日志查詢
日志關聯分析
-
支持基于規則的關聯分析,能夠提供邏輯關聯、統計關聯和情境關聯三種關聯分析能力;
-
支持規則嵌套和引用、單事件關聯和多事件關聯;
-
支持單事件關聯和多事件關聯;
-
關聯規則觸發后能夠通過多種方式進行告警,支持發郵件、發送syslog、執行命令和腳本、發送SNMP Trap等方式發送告警。
日志告警
-
告警規則可以自定義,告警可查詢,導入導出;
-
提供告警統計策略,通過統計圖表,支持柱圖、餅圖、曲線圖等進行展示;
-
支持告警歸并,有效抑制重復告警。
日志報表
-
支持按照天、月度、季度、年度等時間周期生成報表;
-
支持在報表中以柱狀圖、曲線圖、餅狀圖方式統計安全報警情況;
-
支持提供安全運維報告,幫助運維人員快速生成日常日志分析和運維報告。
系統管理
-
對自身運行的CPU、內存和磁盤空間等的使用率進行監測并設置告警閾值;
-
支持對采集的日志源進行監控,一旦日志源發送日志間隔超過閾值,系統將產生告警。
用戶管理
-
系統內置系統管理員、安全管理員和安全審計員,且三權分立。
應用場景
監管及合規建設
滿足《網絡安全法》對日志審計的要求;
及時掌握各類人員的訪問行為,針對違規行為進行有效預警和追溯。
運維管理
通過對日志數據進行規范化和標準化處理,及時發現隱患、快速定位故障;
通過圖形或者趨勢圖,輔助運維人員高效率把控安全態勢。