日志审计是指通过全面收集企业软件系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等),并进行存储、审计与分析,从而识别潜在安全事件与风险。作为数据安全领域的重要组成部分,日志审计系统在现代企业IT管理中扮演着关键角色。
为什么要使用日志审计系统?
1. 满足法律法规要求
国家政策法规与行业标准均对日志审计提出明确要求,使其成为企业满足合规内控的基本前提。例如,自2017年6月1日起施行的《中华人民共和国网络安全法》规定:必须采取监测、记录网络运行状态及安全事件的技术措施,并留存相关网络日志不少于六个月。此外,《网络安全等级保护基本要求》(GB∕T 22239-2019)也规定:二级到四级系统需对网络、主机及应用安全三部分进行日志审计,留存日志需符合法律法规。
2. 满足系统安全管理需求
面对日益严峻的信息安全形势,防护工作挑战倍增。日志审计能帮助用户更好地监控与保障信息系统运行,及时识别入侵攻击、内部违规等行为。同时,它还为安全事件的事后分析与调查取证提供关键信息支撑。
日志审计的核心流程
日志审计通常包含以下四个核心环节:日志采集、日志解析、关联分析与数据检索。系统需能接入多种数据源,利用流式计算、机器学习等技术提升处理效率,并依据审计规则识别安全风险。此外,采集的原始日志与处理后数据需分片存储与索引,以支持海量数据检索。
- 日志采集:全面支持Syslog、SNMP等协议,覆盖主流安全设备、主机及应用,确保日志全面收集。
- 日志解析:接收主机、安全设备、应用及数据库日志,通过预置规则实现解析、过滤与聚合。
- 关联分析:支持全维度、跨设备、细粒度的关联分析,内置丰富规则,轻松实现资产间关联,检测网络安全攻防与合规性。
- 数据检索:通过事件归一化处理,实现高性能海量事件存储与检索优化,提供高速检索能力及事后合规性统计分析。
日志审计基本功能
日志监控
提供实时监控能力,支持采集器及资产状态查看,包括CPU、磁盘、内存使用情况,以及资产概览与事件分布。
日志采集
支持网络安全设备、网络设备、数据库、Windows/Linux主机、Web服务器、虚拟化平台及自定义日志;提供数据源管理、分布式外置采集器与Agent等多种采集方式;兼容IPv4与IPv6日志采集、分析与查询。
日志存储
支持原始日志与范式化日志存储,可自定义存储周期,并扩展FTP备份或NFS网络文件共享存储。
日志检索
提供灵活查询方式,包括全文、key-value、多kv布尔组合、括弧、正则及模糊检索;支持保存检索与条件导入。
日志解析
便捷分析操作,支持日志分组查询,并从叶子节点直接查询分析。
日志转发
支持原始日志与范式化日志转发。
日志事件告警
内置丰富单源与多源事件关联分析规则,支持自定义事件规则,按日志、字段逻辑关系等方式定义;可设置告警规则与等级。
日志报表管理
支持内置与自定义报表,实时、定时及周期性任务报表,输出格式包括HTML、PDF、Word,并灵活配置报表logo。
日志审计部署方式
日志审计系统一般采用旁路部署,要求网络可达即可,支持单机与分布式部署。
- 旁路单台部署:无需更改现有网络,直接接入指定交换机,网络可达即实施,分软件安装与硬件盒子部署。
- 旁路分布式部署:集中管理,配置统一入库;日志事件分散解析与关联分析,集中存储与查询;管理中心存储核心数据,降低数据中心压力。
日志审计的应用场景
日志审计通常应用于以下场景:
- 账号异常操作识别:通过分析系统日志,识别账号异常行为。例如,当访问信息与备案权限不一致,或尝试导出高敏数据时触发告警。
- IP异常行为识别:分析应用系统日志,识别异常IP行为。例如,同一IP高频访问敏感数据接口,或请求IP超出权限范围时告警。
- 主机异常操作行为识别:分析主机操作日志,识别异常变更操作。例如,非变更窗口出现变更指令或IP异常操作时告警。
日志审计的应用效果
- 安全合规:满足法律法规要求,提升企业合规管理能力。
- 安全赋能:24小时全面监控业务与系统安全,识别潜在风险,赋能整体安全防线。
- 常态审计:提升审计效率,解决人工管理海量数据难题,支撑常态化审计。
- 降本增效:快速接入各类日志,自定义审计规则,降低准入门槛,节约运维成本。
随着企业设备增多与合规要求提升,日志审计能力建设已成必需。面对分散且不统一的安全日志,企业需借助高效系统提升审计效率,将安全问题扼杀在萌芽中。如需深入探讨运维与安全实践,欢迎访问云栈社区的相关板块,如安全技术与运维管理,获取更多资源与交流。 | 
发表于 7 天前
|
查看: 19|
回复: 0
