什麼樣的日誌審計產品才能達到合規要求——日誌易
內容簡介
2017年6月1日,《中華人民共和國網路安全法》正式實施,其對業務系統安全審計提出了新的要求。
原文摘錄如下:
“第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路資料洩露或者被竊取、篡改:
(一)不相關,此處略去;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路執行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取資料分類、重要資料備份和加密等措施;”
按照新法規的要求,傳統的運維做法及日誌分析方式很難滿足合規要求,傳統方式存在以下弊端:
1、運維方面
- 需要登陸每一臺伺服器,使用指令碼命令或程式檢視,操作繁瑣,容易出錯;
- 資料是孤立分散的,無法進行關聯,無法提取出其中的共性;
- 只能做簡單搜尋和統計,無法滿足分析要求;
- 沒有實時監控和報警,如程式出錯日誌。
2、安全方面
- 黑客入侵後往往會刪除、修改日誌,抹除入侵痕跡,導致無法通過日誌分析攻擊行為;
- 海量的 IDS/WAF 報警,根本無法辨別是否是誤報。
3、儲存日誌效能方面
- 資料庫的 Schema 無法適應千變萬化的日誌格式;
- 沒有日誌生命週期管理手段;
- 無法提供海量日誌全文檢索和欄位統計功能。
總結起來就是:日誌資料複雜,管理難度大,難以集中管理,因此更無法進行關聯分析。那麼該法規所涉及的行業和企業,尤其是需要滿足網路安全等級保護第三級要求的企業,專業的日誌審計產品成為其滿足合規的必然選擇。
那選擇什麼樣的日誌分析產品,才能滿足合規要求?
(1)提供資料脫敏功能。滿足網路安全法要求,對使用者資料進行脫敏處理。
(2)有資料備份、還原功能。按安全法要求,資料至少備份6個月,同時能夠還原指定時間範圍的日誌資料,以便監管部門調取。
(3)有靈活的查詢搜尋功能。可以對資料進行實時搜尋,歷史資料還原搜尋,滿足監管部門的查詢需求。
(4)網路安全事件實時預警,防控。可以對網路裝置節點故障進行實時告警及故障快速分析溯源,發現傳統安全裝置沒有發現或阻斷的安全威脅,對線上故障及威脅快速響應。
(5)符合國家標準,並通過了具備資格機構的安全認證。
日誌易作為國內領先的日誌分析產品,能夠提供以下功能,幫助使用者滿足日誌審計合規要求。
第一,日誌易對日誌資料提供了脫敏功能,保證日誌處理後再次下載後的結果也是脫敏的
支援日誌全生命週期管理,支援配置不同種類日誌的生命週期,支援索引備份,支援介面化日誌恢復,支援全文檢索。
使用日誌易產品,使用者可以實現:
1.滿足網路安全法要求;
2.滿足監管部門日誌查詢要求;
3.實現資料生命週期管理,既提供明文資料查詢,也提供脫敏資料查詢,既能實現實時資料快速搜尋,也能實現歷史資料還原搜尋。
第二,日誌易能夠實現對網路裝置、安全裝置的日誌審計。
(1)網路裝置審計
實時監控所有網路裝置日誌:包括每臺網路裝置的日誌量趨勢,日誌等級分佈,通過 IP 地址和日誌等級過濾,可以聯動統計和查詢某臺異常網路裝置的事件趨勢,日誌等級分別和日誌詳情,方便快速定位故障。
(2)防火牆日誌審計
提供日誌級別、事件程式碼、五元組(源地址、目的地址、源埠、目的埠、訪問協議)供使用者搜尋過濾,使用者可以根據源 IP、日誌級別等快速進行日誌溯源。
輸出防火牆日誌五元組巡檢日報:
通過分析防火牆日誌,識別可疑的掃描源 IP 資訊、被掃描可疑目的 IP 和目的埠資訊。
(3)IPS 日誌審計實時攻擊概況分析
另外,日誌易還提供攻擊明細分析、郵件攻擊分析、SQL 注入攻擊分析、Web 攻擊分析等功能。
(4)安全裝置日誌分析場景
日誌易可實現上百種安全裝置事件統計規則,例如惡意軟體訪問資訊的統計,包括惡意軟體源 IP 分佈、惡意軟體目的 IP 分佈、惡意軟體服務分佈、惡意軟體名、服務、事件數及百分比等,每種統計可以自定義統計週期。
通過對網路裝置、安全裝置的審計功能,日誌易可以幫助使用者:
1.通過日誌手段對網路裝置進行實時健康度監控,有效補充網管軟體的不足;
2.滿足國家等級保護要求,對網路裝置,安全裝置日誌進行集中收集和儲存;
3.自動輸出日常安全日報、週報、月報,提高安全運維人員工作效率;
4.通過對安全裝置日誌分析,有效實現安全日誌和攻擊溯源分析,加強網路安全管理,提高網路安全等級。
最後,合規並不僅僅是為了應對監管,所謂安全無小事,當前使用者安全防禦往往集中在外網,內網安全防範往往比較薄弱。然而2015年 FortScale 調查反饋85%的資料洩露是來於內部威脅,內部人員相對外部攻擊更容易接近重要資訊或系統,正所謂“禍起蕭牆”,攻破堡壘的往往都是“自己人”,因此對內網各環節的使用者行為審計(UBA)就顯得愈發重要。
使用日誌易通過系統使用者登入行為分析、使用者操作行為分析、檔案訪問行為分析、使用者登入域控日誌分析、DNS&DHCP 日誌分析等全方位的內容使用者行為分析,不僅能實現安全行為審計,還能協助內網運維分析,及時發現內網網路隱患,是安全運營中心(SOC)的重要組成部分,能有效補充內網安全防禦薄弱環節,從內到外構建立體化安全防護堡壘。
相關文章
- 請問日誌審計什麼意思呢?
- vertica審計日誌
- wazuh日誌審計--定製規則
- 日誌審計系統
- oracle 審計日誌清理Oracle
- 【等保要求】等保要求堡壘機審計日誌保留多久?
- 運維日誌審計是什麼意思?用什麼工具好?運維
- .Net Core 審計日誌實現
- 有什麼適合postfix的日誌分析工具(轉)
- 日誌規約
- 最全 Kubernetes 審計日誌方案
- 通過日誌審計追蹤外部***
- oracle 日誌產生大小的計算Oracle
- 日誌脫敏是什麼意思?為什麼要做日誌脫敏?用什麼工具好?
- 綠盟科技日誌審計系統與統信軟體UOS完成產品互認證
- mysql 系統審計日誌格式說明:MySql
- 利用 ELK 處理 Percona 審計日誌
- Oracle補充日誌及日誌記錄規則Oracle
- 日誌--列印規範
- Galgame研發日誌:那麼,怎麼才能回本呢?GAM
- 日誌易:IT運維分析及海量日誌搜尋的實踐之路(上)運維
- mysql之 日誌體系(錯誤日誌、查詢日誌、二進位制日誌、事務日誌、中繼日誌)MySql中繼
- AUDIT_TRAIL設定及審計日誌清理AI
- 日誌分析常規操作
- php日誌,記錄日誌PHP
- 日誌分析-apache日誌分析Apache
- 【oracle】關於日誌產生量的計算Oracle
- 減少oracle日誌的產生Oracle
- 為什麼要Supplemental Log(追加日誌)
- 日誌服務之敏感資訊脫敏與審計
- 測試DML 時產生歸檔日誌和閃回日誌的比
- 聯機重做日誌、歸檔日誌、備用重做日誌
- Oracle產生redo日誌量大小統計Oracle
- mysql 日誌之錯誤日誌MySql
- mysql 日誌之慢查詢日誌MySql
- 【Oracle日誌】- 日誌檔案重建Oracle
- 日誌
- GO的日誌怎麼玩Go