应对政企多项合规要求，威努特日志审计一步满足

yyds 2023-07-11 10:47:55  49158

分类专栏：资讯

日志审计需求背景

随着网络运营者对网络安全的认识不断增强，网络安全建设工作不断推进，以及《中华人民共和国网络安全法》、等级保护、分级保护以及各行业信息安全管理标准等规范的实施，政企事业单位的网络运营者都迫切需要建设和实施IT设备与系统的日志审计平台，以满足日益严格的合规审计要求。

日志记录留存审计是日常信息安全管理中至关重要的环节之一，从庞杂的日志中提取出有价值的信息，满足各类信息安全管理者、参与者和相关方的必要需求。

日志留存审计所面临的挑战

2.1 日志存储分散，难以集中审计

在企业网络中，各种网络设备、安全设备和应用系统部署在网络的不同位置，不同设备的日志分散存储在设备自身，难以集中留存及审计，无法高效的开展日志审计及安全事件追溯工作。

2.2 日志格式迥异，难以解读审计

不同厂商、不同设备类型产生的日志格式不同，不同设备日志数据的预处理、解析和分析难度较高，用户难以快速发现和及时解决日志记录中潜在的安全风险。

2.3 多来源日志无法关联分析

不同设备的日志中会存在网络攻击及渗透的痕迹，如路由器、交换机、防火墙、入侵检测、主机安全产品等，针对这些设备日志数据的采集汇总，如无关联分析机制，将难以从攻击杀伤链视角检测、发现攻击渗透行为。

2.4 日志数据量庞大，管理困难

现场设备种类繁多、日志数量庞大，缺乏日志分类归并、搜索过滤机制时，用户难以快速筛选特定类型的日志信息，遭遇网络安全事件时，难以快速定位和响应安全威胁，同时用户将无法有效管理和使用日志数据，也难以通过日志数据发现网络中的潜在风险。

威努特日志审计与分析系统

3.1 产品特性

3.1.1 分散日志统一收集

威努特日志审计与分析系统通过主动或被动方式实现不同类型的设备和系统日志的采集。针对具备主动报送日志条件的设备（如交换机、路由器、防火墙、IPS/IDS），使用标准Syslog或SNMP Trap的方式采集日志；针对不具备主动发送日志功能的设备（如Windows主机和各类服务器），可以通过主机Agent方式实现日志采集；针对数据库服务器，支持通过JDBC方式采集数据库中的日志数据；针对Weblogic、Tomcat、Apache、WebSphere、IIS Web等中间件日志，可以通过FTP或者手动页面导入的方式实现日志的采集。

图1 威努特日志审计与分析系统日志收集

3.1.2 异构日志范化统一

威努特日志审计与分析系统可以接收并解析各类异构日志，变成系统可识别的统一的日志格式，屏蔽了不同厂商不同产品之间的日志差异，整理重塑成结构化字段，使日志检索和管理分析成为可能，并且特殊场景也可通过页面自定义解析规则实现日志解析。

图2 威努特日志审计与分析系统支持范化对象（部分）

3.1.3 威胁数据全局关联

威努特日志审计与分析系统可基于时间、类型、级别、日志源、Top排名等多个维度对日志进行聚合统计分析，同时，内置1000+关联分析模型，满足等保合规、安全审计、安全分析、监控运维、事件回溯多数场景的分析需求，规则命中后通过邮件、声光告警方式实时提醒管理员处置安全事件，帮助用户快速发现网络中潜在的异常行为。

图3 威努特日志审计与分析系统关联分析规则（部分）

3.1.4 海量日志秒级检索

威努特日志审计与分析系统可自动提取网络中的关键事件，如设备登录、高危指令、配置变更、外设使用等信息，对各类高风险活动进行统计分析，方便用户快速筛查高危操作行为；同时，威努特日志审计与分析系统采用倒排索引创新技术，实现亿级数据秒级查询效果，也大幅提升了范化规则的匹配速度。

3.2 产品优势

3.2.1 近千种范化规则提供高效日志分析能力

基于聚类分析的机器学习算法，实现海量日志信息的自动范化和精准识别，并实现高速、海量、异构、分散的日志数据采集，系统内置400+描述字段、700+日志解析规则，900+日志范化规则，可灵活配置日志范化、增强、过滤与归并，支持可视化日志范化，具有日志动态建模能力。

3.2.2.大数据处理框架支撑亿级数据秒级查询能力

采用基于大数据架构实现日志存储，可实现日志结构化存储以及原始日志的非结构化存储与全文索引，内置4种交互式安全分析模式，具备强大的即席查询能力和批量分析能力，综合范化字段与大数据全文索引技术构建的交互式数据搜索引擎，为用户提供及时查询的审计支撑，在实现海量数据的存储的同时，又保证了数据的查询性能，实现亿级数据秒级查询效果。

3.2.3.安全事件关联分析引擎内置千种场景策略

采用分布式关联分析架构，适用于大规模日志关联分析场景，支持实时关联和历史关联，具备逻辑关联、统计关联和情境关联（资产关联、脆弱性关联、威胁情报关联）能力，提供多种类型的安全策略包，内置1000+场景分析策略，提供可视化规则编辑器。

3.2.4.高性能满足各场景需求

3.2.5满足多项法规要求

国家的政策法规、行业标准等都明确对日志审计提出了要求，日志审计已成为企业满足合规内控要求所必须的一项基本要求。威努特日志审计与分析系统满足《中华人民共和国网络安全法》、《网络安全专用产品安全技术要求》等法规中日志留存相关要求，日志留存最长可保留两年，最大可保留40亿条日志，长期保存的日志可以对系统的运行进行全面记录，有利于分析和解决系统出现的故障和异常情况，快速定位和修复问题。

威努特日志审计与分析系统具备主机类、数据库类、中间件类、网络设备、安全设备、虚拟化类、应用系统共七种类的日志采集能力，不仅满足等保合规等法律标准，还有助于进行全面的安全监控，记录系统的各种安全事件和行为，包括入侵尝试、异常登录、非法访问等，通过对多种类日志的分析，可以及时发现和响应安全威胁，提高系统的稳定性、安全性。

3.3 威努特日志审计

可广泛应用于各行业领域

威努特日志审计与分析系统适用于制造业、能源、政府、轨道交通、金融、教育、医疗等各种行业，覆盖大多数应用场景，基于日志范化技术和关联分析技术除去虚假和冗余告警，从海量日志中迅速准确地识别安全事件，提升日志审计与事件回溯能力，事后快速精准溯源，为建立IT及OT领域的纵深安全防护和监测预警体系奠定数据采集基础。

图4 政企行业方案拓扑图举例

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=26037

赞同 0

评论 0 条

应对政企多项合规要求，威努特日志审计一步满足

相关文章

关注我们