产品 概述

       传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理，这种管理运行方式导致安全信息分散且互不相通，安全策略难以保持一致，这种现象使管理人员无法面对海量的日志孤岛，从中发现网络中的违规行为、安全事件及安全风险。

慧眼日志审计系统（LogAudit）是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散的、海量的、单一的安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理。并且能够输出多维度的事件分析、风险分析报告，为安全管理领导人员掌握系统整体的安全情况、为安全建设决策提供数据依据。

 

产品优势

 实时的关联分析，快速发现隐蔽的攻击事件以及安全风险

1、通过事件的逻辑关联分析，发现网络扫描、蠕虫、DDOS攻击、验证破解等安全事件；

2.、通过事件类型的交叉关联分析，发现网络窃取等行为事件；

3.、通过攻击类型和应用及系统类型的主机关联分析，识别出用WINDOWS系统类型的攻击手段对UNIX系统进行攻击等低风险事件。

先进的资产、脆弱性、事件可信度模型的风险关联算法

识别真正的需要用户关注或处理的安全事件，避免淹没在大量无效的告警处理事务中。

安全告警的快速资产定位

通过资产的定位信息，能够准确定位资产的物理位置。

 

主要功能

  原始日志采集过滤

►          支持主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等；

►          采集方式支持：Syslog、SNMP Trap、FTP、XML、Agent等协议及工具。

 日志泛化

►          支持不同原始日志格式的归一化处理；

►          支持事件类型达上百种，包括：漏洞利用、认证与授权、访问与控制、警告等。

 实时关联分析

►          内置几十种关联分析规则，如：网络扫描、木马蠕虫、服务端攻击、暴力破解等；

►          基于资产、脆弱性、事件可信度模型的风险关联算法；

►          支持基于时间、源/目的 IP的逻辑关联分析；

►          支持不同事件类型的交叉关联分析；

►          支持攻击类型和应用及系统类型的主机关联分析。         

资产管理

►      支持资产的自动发现；可以按照主机、主机组或者网络域的方式进行资产集中管理。

 脆弱性管理

►          支持CVE标准的弱点漏洞信息知识库；

►          支持第三方弱点扫描器的扫描结果的导入。       

实时监测告警

►          支持事件风险可信度算法，计算出安全事件风险进而发出安全告警，过滤无效的告警信息；

►          支持多种告警方式，包括：用户界面、SYSLOG、邮件。

 日志查询

►          提供丰富的检索功能，支持以关键字、事件风险级别、关联事件、源（目的）IP地址等进行快速查询。

 统计报表

►          内置多种报表类型模板，包括：指定事件类型统计、告警统计、资产统计、资产脆弱性统计等；支持  各种 TOP排名分析；支持各种分布统计分析；

►          支持报表导出为PDF、Word、Excel、HTML、PPT格式文件；

►          支持等级保护等合规类报表。