2024深信服日志審計(jì)系統(tǒng)（LAS）產(chǎn)品白皮書

LAS-1000V3.0--PAGE\*ROMANII概 需求背 法規(guī)標(biāo)準(zhǔn)要 等級(jí)保 網(wǎng)絡(luò)安全 信息安全管理的需 安全技術(shù)保障體系建設(shè)要求的需 規(guī)范符合性要求的需 產(chǎn)品概 產(chǎn)品定 深信服日志審計(jì)系統(tǒng)介 產(chǎn)品架構(gòu)與性 產(chǎn)品架 工作原 產(chǎn)品功能與特 產(chǎn)品功 采集管 攻擊檢 數(shù)據(jù)識(shí)別（標(biāo)準(zhǔn)化 過濾和歸 實(shí)時(shí)監(jiān) 會(huì)話審 事件分 審計(jì)管 告警監(jiān) 資產(chǎn)管 產(chǎn)品優(yōu)勢(shì)與價(jià) 產(chǎn)品優(yōu) 全面的采集能 精準(zhǔn)的溯源定 高效的實(shí)時(shí)分 強(qiáng)大的檢索查 豐富的策略模 豐富的合規(guī)模 靈活的部署方 簡(jiǎn)便易用的界面風(fēng) 靈活通用的系統(tǒng)設(shè) 產(chǎn)品價(jià) 產(chǎn)品應(yīng)用場(chǎng) 訪問控制審 網(wǎng)絡(luò)安全檢 等保相 隨著各類組織、企業(yè)對(duì)信息系統(tǒng)的應(yīng)用不斷深入。為了在復(fù)雜網(wǎng)絡(luò)環(huán)境下應(yīng)（企業(yè)部署了大量的、不同種類、形態(tài)各異的信息安全產(chǎn)品：在此基礎(chǔ)上，對(duì)日志進(jìn)行實(shí)時(shí)的事件分析和審計(jì)分析、從而進(jìn)行實(shí)時(shí)的事件數(shù)據(jù)庫(kù)和其它應(yīng)用進(jìn)行全面的日志安全審計(jì)。因?yàn)槿罩緦徲?jì)是日常信息安全管理中最為重要的環(huán)節(jié)之一；能從紛繁復(fù)雜的日志中萃取出具有價(jià)值的部分是各類信息安全管理者、參與者、相關(guān)者最大的訴志審計(jì)是檢測(cè)安全事件的不可或缺重要手段之一。大部分信息系統(tǒng)所依賴的入侵相關(guān)標(biāo)準(zhǔn)、規(guī)范也均明確提出信息安全審計(jì)系統(tǒng)的重要性，如薩班斯法案、ISO27001等均要求企業(yè)對(duì)重要系統(tǒng)、設(shè)備的運(yùn)行日志進(jìn)行保留，并且周期性地進(jìn)P歸屬及地理位置信息數(shù)據(jù)，為安全事件的分析、溯源提供了有力支撐，深信服日志審計(jì)系統(tǒng)能夠同時(shí)滿足企業(yè)實(shí)際運(yùn)維分析需求及審計(jì)合規(guī)需求，是企業(yè)日常信息安全工作的重要支撐平臺(tái)。B/S關(guān)聯(lián)分析|關(guān)聯(lián)分析|狀態(tài)|時(shí)序|歸并|大數(shù)據(jù)分析平臺(tái)|提取|清洗|實(shí)時(shí)分析|統(tǒng)計(jì)分析|基于行為|AAA綜合展現(xiàn)|實(shí)時(shí)監(jiān)控|查詢|鉆取|告警|統(tǒng)計(jì)圖表|趨勢(shì)圖|采集|分類|標(biāo)準(zhǔn)化|過濾|歸并|轉(zhuǎn)發(fā)|采集方 SNMP

文 鏡像流

4.1攻擊檢測(cè)來源于對(duì)網(wǎng)絡(luò)流量的應(yīng)用層進(jìn)行檢測(cè)，需要配合相關(guān)特征庫(kù)，通過描、拒絕服務(wù)攻擊、漏洞利用攻擊、SQL注入攻擊、緩沖區(qū)溢出攻擊、Webshell及其它類型的注入攻擊；HTTPHTTPHTTPBBS訪問、HTTP網(wǎng)頁(yè)標(biāo)題、HTTP威脅情報(bào)、HTTPDGA域名（DGA域名庫(kù)、機(jī)器學(xué)習(xí)）HTTP會(huì)話等，數(shù)據(jù)中至少包含請(qǐng)求方法、返回值、DNSDNSDNS威脅情報(bào)、DNSDGA域名、DNS解碼錯(cuò)誤、DNS解析錯(cuò)誤、DNS解析超時(shí)，數(shù)據(jù)中至少包含請(qǐng)求域名（FQDN）、DNS服務(wù)器地址、DNS服務(wù)器端口、請(qǐng)求返回解析FTPFTP會(huì)話數(shù)據(jù)，數(shù)據(jù)中至少包含登錄用戶、傳輸文件名以及操TelnetTelnet會(huì)話數(shù)據(jù)，數(shù)據(jù)中至少包含登錄用戶以及操作命令的實(shí)Mysql、SQLServer、Oracle等主流數(shù)據(jù)庫(kù)，數(shù)據(jù)中至少應(yīng)包含登錄用戶名、操作命令（SQL語(yǔ)句）等信息。POP3，SMTP、IMAP協(xié)議，數(shù)據(jù)中至少TLSIPCIPMODBUS的功能碼、功能描述，IEC、EthernetIIPCIP的命令等信息。如防火墻、IPS等）：網(wǎng)絡(luò)攻擊、有害代碼、漏洞、用戶訪問存取、系統(tǒng)運(yùn)行、設(shè)方式的關(guān)聯(lián)；支持短時(shí)間內(nèi)的序列審計(jì)；支持長(zhǎng)時(shí)間的審計(jì)（30天）為了處理不同網(wǎng)絡(luò)的資產(chǎn)同PP為了用戶便于集中、靈活地管理所轄范圍內(nèi)的資產(chǎn)，深信服日志審計(jì)系統(tǒng)支持用戶自定義資產(chǎn)管理視圖。API、協(xié)議、文件、FTP、SNMPTrap、鏡像流量等多種方式接入全平臺(tái)FTP、數(shù)據(jù)庫(kù)、SMB、Console（需定制開發(fā)）等方式采集。支持200多種設(shè)備日NGAFWAFIDS操作系統(tǒng)：Linux、Windows、WindowServer、Unix等操作系統(tǒng)數(shù)據(jù)庫(kù)：Oracle、MySQL、SQLServerApache、Tomcat、IIS、WeblogicAC、AD、Cisco、華為、Juniper等。虛擬化平臺(tái)：VMwareESXi、KVM、Xen系統(tǒng)內(nèi)置全面的全球地理信息庫(kù)，準(zhǔn)確、高效地定位威脅來源，提供用戶實(shí)億級(jí)（TB）1SQL注入、IP系統(tǒng)默認(rèn)提供等級(jí)保護(hù)三級(jí)、SOX法案的分類，提供對(duì)主機(jī)、應(yīng)用、網(wǎng)絡(luò)安Syslog可處理：發(fā)現(xiàn)安全事件