H3C SecCenter CSAP-SA 综合日志审计技术白皮书（2021-01-11）.docx

H3C综合日志审计平台技术白皮书1 .系统简介近年来，国内外相继发生的“棱镜门”、域名系统遭攻击、国外情报机构的网络攻击工具曝光、勒索病毒爆发、大规模用户信息泄漏等问题，以及信息通信诈骗等问题不断给我们敲响警钟。日志是对网络信息系统在运行过程中产生的事件的记录。通过日志，信息安全人员可以了解系统的运行状况。通过对安全相关的日志的分析，信息安全人员可以检验信息系统安全机制的有效性。日志审计需求主要源自于两个方面的驱动力。一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，另一方面，识别来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。综合日志审计平台的需求H3C综合日志审计平台能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统等产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。H3C综合日志审计平台功能广、日志采集存储:用曰志，快速管、匈依法M«日常运堆管理内网安全风玲阿塔群整设鎏中分析、快涕直费、;)及时发现安全事瑁港定位一"件.尽早防护2 .系统架构败分析tra处理届峰雅化H1.C-斗壮区行叫卒H3C综合日志审计平台通过收集来自企业和组织信息系统资源中各种设备和应用的安全日志，可结合云端的威胁情报，对海量安全日志进行统计分析和关联分析，协助用户准确、快速地识别安全事故，从而及时做出响应。SBOaJDeCQP1./Necstreem'Netf1.ow:SNMP>MICU/Trap/代理现序日与D冷甘V网缗K«M加映中可杵ACG屿火IPSUTM该架构可划分为四个层次，数据采集层、数据处理层、数据分析层和业务表示层。(1)数据采集层主要利用SYS1.OG>ODBC、TCPUDPFTP等多种协议方式，采集包括网络设备、安全设备、主机、中间件、数据库在内的多种审计数据源的日志。（2）数据处理层由于不同数据源对网络安全事件的定义通常具有不同的格式，还需要通过范式处理将数据归一化为统一格式,然后进行去除冗余及噪声数据。同时实现对海量安全日志的快速检索。（3）数据分析层通过统计分析引擎和关联分析引擎，通过融合、归并和关联底层多个安全设备提供的安全日志，并对网络中安全事件进行预警。（4）业务展示层提供数据接口和安全报表展示统一的态势安全视图，能够快速准确地把握网络当前的安全状态，采集方式 生松动结合的日态采集方式：支持Sysk>g.SNMPTrap,Sf1.ow.Netstream,JDKyODeuWMI.FTP.Http/Https.会话.文付考方式迸行数据采集 支持通过AgenGR集日志Qg 支持手动导入日志常见设备采集怫议 安全iRHffifift通过*sog.SNMPTQP萼方式发送 务抬（播作系统.中用件.8B.业务系猊）：Unux:接收SyS1.og发送日志；通过FTP.Agent等进行主动采集Windows:通过安装Agent代理进行主动采集及Mtt也Vft具有全面的安全事件分析蜴力.可从海日志中定位安全威胁审计管队安全管理团队业务管理团队运维管理团队买班日香时计记am保护安全m及时处.X井M-业务ImM行SUMM1.MV9H9affWeW可控日本9合罐舞坞»事等升