作為一名企業信息安全管理人員，你有沒有被各種安全設備、服務器、網絡設備的安全日誌搞得焦頭爛額？無論是要從各種日誌中進行問題分析和定位，還是從日誌中提取有用的信息，是不是都像大海撈針一樣忙得筋疲力盡收獲卻總是寥寥？

而且，而且，你們單位裏只有你一個安全管理員有木有？

單位這麽多安全日誌、設備日誌，每天就好幾萬條怎麽分析？

面對監管單位的安全檢查，重點要求設備安全日誌檢查，怎麽辦？

那麽在日常工作中，信息安全管理員究竟會面臨哪些安全日誌審計的問題呢？

日誌分散在各地

隨著信息化技術的逐漸深入，企業往往采購了多種安全設備，軟件、硬件、數據庫等。這些設備和系統會分別分布在不同的網絡位置，並各自產生日誌，且每種安全設備，或網絡設備，或者每個廠商都會有各自的控制臺進行日誌查看，無法集中；

日誌格式不統一

企業網絡中各種設備類型的日誌格式各不相同，各有各的表達，即使是表達同一件事情，也都有各自的表達方式。例如同樣的登錄失敗信息，防火墻中的描述和主機操作系統中的描述格式就可能根本不相同。信息安全管理員不可能了解每種設備的日誌格式。

日誌量巨大

海量數據帶來的是審計效率的低下和審計制度的無用論。一個標準的網絡入侵監測系統采用缺省的策略，在一個百兆的鏈接上每天可能產生超過千萬數量的事件，海量的數據常常讓我們的安全產品變得沒有任何意義，即使經過調整和優化的策略，也充斥著無意義數據和誤報。在SANS的調查報告中，對日誌管理最大的抱怨依然是如何在海量日誌數據中有效識別高級威脅。

日誌關聯度低

為了不斷應對新的安全挑戰，企業和組織先後部署了防病毒系統、防火墻、入侵檢測系統、漏洞掃描系統、UTM，等等。這些安全系統都僅僅防堵來自某個方面的安全威脅，形成了一個個安全防禦孤島，無法產生協同效應。更為嚴重地，這些復雜的IT資源及其安全防禦設施在運行過程中不斷產生大量的安全日誌和事件，安全管理人員面對這些數量巨大、彼此沒有明確關聯關系的安全信息，顯得束手無策，工作效率極低，難以發現真正的安全隱患。

日誌無法有效查詢

如今的企業，日誌審計產品大多以應對等保檢查為主，但是上級單位在發現安全威脅和異常時，要求企業進行審計或者追蹤威脅時，傳統的日誌審計系統卻無法有效查詢或者追溯；

管理職責不明確

日誌應該被哪個部門管理？告警由誰來負責和處理？這是個無法界定的難題。網絡設備日誌應由運維部門監管，但是信息安全部門在進行安全分析時，需要一定的網絡設備支持，更不用說服務器和應用系統日誌了；

如果想解決以上問題，客戶需要日誌審計，更需要有效應對上述挑戰。客戶需要從組織策略、處理流程和技術體系等多方面進行統籌規劃，依據相關安全法規和最佳實踐，通過統一的日誌審計平臺，以安全資產管理為基礎，以風險管控為核心，以信息安全事件管理為主線，采用深度的數據挖掘、信息安全事件關聯等技術，並輔以實時的安全事件關聯告警、安全態勢與合規呈現、靈活快速的故障搜索等功能，來實現全網安全威脅的統一監控、分析、預警處理，直觀展示相關法規標準的符合性狀態。

武漢遠盟科技推出的安全日誌大數據審計平臺整體解決方案

為解決以上問題，武漢遠盟科技推出多元，異構日誌治理整體解決方案（以下簡稱LogSec），猶如一把利器，讓你管理日誌遊刃有余。

該方案基於成熟的大數據技術，通過主動與被動相結合的方法，實時地采集用戶網絡中各種不同廠商的網絡設備、安全設備、主機、操作系統、以及各類應用系統產生的日誌，並將這些信息匯集到安全中心，進行集中化存儲、備份、查詢、分析、告警和審計，並出具豐富的報告，實現企業日誌的全生命周期管理。

解決方案特點

高性能的系統架構

為應對企業產生的海量日誌，LogSec通過異步通訊、環形隊列、流處理技術、搜索引擎技術等實現對PB級海量異構安全信息進行持續不斷的采集、分析和存儲。

全面的安全信息采集

LogSec支持多種日誌源自動采集。支持日誌源安全基線（性能、脆弱性、端口、進程、賬號、關鍵文件等）實時監控。同時LogSec對收集的各種安全信息進行範式化處理，將來自不同設備和系統的各種不同的表述的安全信息進行規範化描述，既能滿足復雜分析和存儲的要求，又極大的提升了查詢性能。

基於CMDB的數據融合

LogSec建立集中、統一、標準的大數據管理和消費平臺，為日誌屬性豐富、安全事件可信篩選、拓撲呈現、運維流程管理等提供底層數據支持。

智能的安全事件分析

基於日誌流的安全事件分析和基於CMDB的安全事件可信分析，幫助管理員迅速、準確的識別安全事故，及時做出響應。

基於攻擊鏈的威脅態勢呈現

構建新常態下的威脅態勢呈現，結合海量數據的分析，形成以新規則為主導，以新分類為依據，以攻擊鏈為引領的新型日誌分析平臺。

高效的全文檢索引擎

系統內置IT SearchEngine，可使用簡單易懂的關鍵詞(Keyword)進行搜索、統計分析、故障定位和攻擊溯源。

豐富靈活的報表

報表是日誌審計系統的必備功能之一。基於LogSec的報表引擎，可以生成各種報表，客戶可根據自身需要生成日報、月報、季報等，並支持郵件方式傳遞。支持PDF、WORD、HTML等格式的報表。

完備的安全性設計

LogSec具有良好的自身的安全等級設計。系統的自身安全性體現在：

o 日誌采集器與分析中心之間支持加密通訊

o 日誌采集器支持存儲轉發

o 瀏覽器訪問支持HTTPS協議

o 采用基於角色的訪問控制機制

o 用戶身份三權分立，內置系統管理員、審計管理員、用戶管理員

靈活的業務擴展

平臺在日誌管理的基礎上可以進行無縫擴展，如：資產管理、脆弱性管理、威脅管理、安全態勢感知、攻擊鏈條分析、安全運維管理、業務運維管理等。根據業務需要進行安全業務拓展，最終實現企業安全管理的最終目標。

全自動的日誌審計平臺讓你輕松完成安全日誌存儲、分析、查詢、展現的工作；

單位再多安全日誌、設備日誌，也輕松處理了；領導再也不用擔心日誌審計這一項會扣分了。

文章來源：https://www.log-sec.cn
文章編輯：武漢遠盟科技有限責任公司
LogSec日誌大數據審計平臺,專業大數據日誌審計讓企業信息安全管理人員不再“躺槍”

LogSec日誌大數據審計平臺,企業信息安全管理人員不再“躺槍”