2022明御综合日志审计平台SOC.docx

SOC产品介绍日志审计概述日志审计是一站式的日志数据管理平台，主要致力于提供事前用警、事后审计的安全能力，符合相关法tt碗通过对日志数据的全面采集、解析和深度的关联分析,及时发现各种安全域胁和异常行为事件.产品结构日志接收原始事件处:多行事件合9复事件去除大数据平台态势感知邮件平台短信平台产品优势l三fs三合规思路：快速满足要求明啮合日志审计平台集日志统一采集、存储、解析、关联分析、实时告警、取证分析、监管合规于一体,可以快速实现网络设备、安全设备、主机操作系统、中间件、数据库、应用系统等在内的设备及系统的日志审计，全面满足各个行业及组织对日志的安全合规需求.顶科及格式.靛度.跨i三.多场'1多种灵解析F珂桁鼠关联分析，灵活定制.厂任息来源及格式，睇二1.多种疥议收集方式采萼,3W：多方式，自定义事件及时肯警a1厥警他证深入分析，快盛、出际:位，取证分析.1.内多饰防案，丰合KjFJ规报袤,灵活自定义报表合丹日志采集举例说明支持主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等Sy61Og功能文本日志安恒明”蟀会日志审计系统WindowsHTTP系境日志访问日志AgenC系坡日本文本日志细粒度的日志解析功能强大丰富，细致高效/解析后维度多达200+;/可按需定制扩展；/正则、Grok,分隔符等多种支持模式/事件属性动态扩充（活动列表模块）灵活创新，简洁易用/解析规则界面自定义/性能列表可视化展示/网络设备、安全设备等支持SySlOg协议的设备通过配置SySlog将日志发送到日志审计/WindOWS系统日志、HTTpiJ洞日志等非SySlOg协议生成的日志需要安装agent进行收集,SySIOgt办Z½iiudp514端口辘日志，需确保设备到日志审计udp514端口网络可达先进的关联分析功能关联分析场景及规则可根据需求定制，也可自定义基于设备故障、认记S陆、攻击威胁、可用性、系统脆弱性等维度建立安全评估模型，根据资产价值、资产漏洞、针对漏洞的威胁事件进行威胁的自动关联分析快速的检索分析亿级事件,杪研&回资腔果合、近意,HS存储和检索效率关It字、200+条件自由蛆合灵活更府信息QM-2MjtyW,多重数据保障能力灵活的审计规则扩展能力,存储空间剩余预测1|数据分区告警推送,远程仓库状态监测1|资产活跃状态监测1I系统关键配置备份1I日志数据冗余备份/内SOX、WEB、安全、Windows.1.inU用解决方案包,内合规性报表100o+种,内置完善的等级保护合规报表性能监控能力数据库/Oracle/Mysql/SqlserTomcatApacheWeblogic(9.210.3)/Windows/1.inux/AIX/HPUX等且宜信患开放性的对接能力,大姐8平台、,态势初/第三方日志审计平台,邮件平台/短信平台平台多样-GD-O-QD-。-CD-。-QO实时转发/Kafka/http/syslog灵活设置,各种事件转发/事件告警自定义分析呈现笛解报表，用户自定义报表，报表支持调度任务，可导出为常见文件格式,报表内容可与安全策略独立演进,具有非常强的反馈速度和适应性,支持多种报表图的生成,如饵图、柱状图、折线图、面积图、地图、堆枳图等等分析场景/告警信息一目了然，威胁信息传递鬲准,支持多种告警方式,支持数据下钻与追溯，用户体验友好,分析场景可视化,全面地展示用户关注的信息三5B应用场景应用场景 合规审计 IT运维与故障排查 攻击与威胁检测 安全策略审计 三+（颊）部署模式单机部署模式介绍旁路单台部署：采用最简单的部署方式-旁路部署，无需更改现有网络，直接接入到客户指定的交换机上即可，只要网络能通.实施设备分为：软件安装部署和硬件盒子部署分布式部署模式介绍11sS三巾Ql旁路分布式部署:集中管理，所有配置管理统一入库；日志事件分散解析、关联分析，集中存储、查询;管理中心集中存储解析、关联分析后的核心关键数据，降低嘘中心压力.33UW:77&忑I更点信感快速部署选型依据说明1、如果是普通的等保项目，主要满足日志留存的项目，可以用IP作为资产数量的选型依据.如果用户将日志审计作为安全运维的设备，建议通过应用的方式计算日志源数量，这样更符合真实的使用场景2、通过评估日志量与需要的存储周期计算磁盘空间部署前一、实施调研及规划设备实施前，需要对用户计划接入的审计日志源进行调研，同时，对实施的设备部署位置、配置的IP和客户进行沟通确认.日志源资产调研，需要客户提供接入的资产清单.如果客户没有现成的资产清单，也可以按照以下格式进行接入资产的调研.部署中设备登录方式介绍1、主要通过Web方式进行配置，C1.l方式则用来维护设备（ConSoie线或者SSH方式登录CiJ进行维护）2、设备出厂时设置的默认管理口地址为192.168.1.100/24,Web方式默认管理员用户名为admin,密码为1qazWSX3、C1.l方式默认用户名为root,在Web方式出现异常，无法进行Web配置时，可联系400技术支持人员提供设备服务1弋码申请root密码通过C1.l方式登录进行维护通过Web界面配置1、将PC的IP地址设置为与192.168.1.100/24同网段的IP地址，并用网线将PC的网口与设备的Admin接口相连.2、在PC的浏览器（建议使用Chrome浏览器）中输入'https4192J68JJ0Q"并接回车键，进入系统Web管理平台登录页面3、输入默认用户名和密码admin/IqaZWSX,点击登录,登录成功后进入首页Web用户说明产管理、弱点管理、规则库管理、系统配置、规则库中数据字典模块、系统配置中日志接收、日志分析、日志配置、出厂设置、配置文件等功能初始密码IqaZWSXopadmin:操作审计员权限；可查询系统日志及操作记录，初始密码IqaZWSX.useradmin:权限管理员权限；展示区显示所有角色信息，包括超级管理员、系统管理员、操作审计、权限管理员，初始密码：IqaZWSX（注意：IOG3000/5000取号无console口,需要接VGA显示ahat点来进行CIJ模式雄护，其它型号均有ConsoIe）步骤如下1、COnSoIe线接入：如右图所示使用COM转USB的线缆接调试PC的USB,另一头接设备的console口:设备前面板上标注"console"的接口2、使用SecUreCRT,XSheI阕滥端仿真程序工具登录设备设置参数如下ConSole方式登录设备2SSH方式登录以SeCUreCRT为例1、系系S护SSHService启用2、创建SSH2会话，默认用户名为root,空码需要联系400技术支持人员提供设备服务代码申请root密码3、连接SSH会话进行登录以SeCUreCRT为例1、设备管理器中先确认COM口名称2、创建Serial会话，波特率115200bps,流控参数为空即可3、输入回车，Iocalhostlogin:提示下输入默认用户名为root,密码需要联系40顺术支持人员提供设备服务代码申请root密码S1M.16&1.100Soc-sox0FEVwOp6omTrm*rS<tTookMndowHipW夕匚c?Oj0©0T?®IV192131.100,OCHIsogTnaDec4rtlocalhost-It(root01ocalhost-Jfcatetcrcdhat-releaseCentOS1.inuxrelease7.6.1810(Core)(rtlocalhost"修改设备IP地址1、在菜单栏选择"系统A系统配置A平台管理：选择网络配置页签，在网卡状态栏操作列下点击修改,根据实际现场网络环境填写分配的IP地址和子网掩码，并点击确定vM«*»122、在默认网关及策略路由配置区域，填写默认网关和DNS服务器IP地址，点击保存3、测试网络连通性.在菜单栏选择系统A系统管理A系统维护，选择Ping页签，输入网络中的有效IP地址或域名，点击ping一下测试网络是否连通.如果网络连通正常，则设备的网络配置成功.（截图略）0090MMBW修改admin用户密码更点信惠M*tereyOadmmQ1、在页面右上角点击用户名，选择密码修改(g)BStt特殊字2、输入旧密码，输入新密码并确认新密码（密码要求：812个字符，密码必须包含:符,数字,字母小写,字母大写）快速实施部署流程快速部署实施的流程$口下1、日志审计平台修改IP后，校准系统时间并旁路部署接入到实际网络中2、日志源资产设备配置SySlog协议发送日志到日志审计平台3、日志审计平台上发现资产并添加资产4、日志审计平台上查询已添加的日志源资产并在事件查询中能查到其日志，说明接入喇U孑且旧居患日志审计设备一般旁路接入到网络中，日志源通过SySIog协议方式向日志审计发送日志1、交换机、路由器，近火墙等网络设备配置型12发送日志至平台2、WindQWS服务器资产上辗嬴通过!凶3向乎台通过逊咙议发送日志3、1.inUX服务器资产可配好鼠而服务向日志审计平台发送SySIog日志交换机/路由器资产日志审计接入1、交换机/路由器网络设备接入交换机、路由器，防火墙等网络设备配置SySlog协议方式发送日志至平台以H3C的交换机为例，日志审计IP为172.16.30.2H3CS3600系列以太网交换机配置命令如下system-viewinfo-centerenableinfo-centersourcedefaultchannelloghostlogleveldebugginginfo-centerloghost172.16.30.2facilityIocaIO参考链接http:/www.h3c.corn/cn/d_200711/317187_30005_O.htm#Tod64570689配置说明：1）保证金换机到区志服务器网络可达2）配置SySIog协议发送日送后注意要保存配置3）不同厂家，不同型号的配置命令与方法不同4）请按照交换机/路由器厂家的官方技术文档进行配置一、