安全大数据接入中心
● 收集信息:收集设备信息的方式通过SNMP v1、SNMP v2、SNMP v3、SNMP Trap、SysLog、ODBC、网络SOCKET接口、File等协议或应用服务;
● 安全事件收集方式:①第三方agent、②应用程序;
● 条件归并:支持指定按照多条条件进行归并,归并后可按照规定的时间或规定条数达到一定数量来触发,并记录总条数,能够将多条事件合并成一条;
●支持日志审计规则制定和应用:可以将一般事件和审计日志区分开来,审计日志和一般事件支持单独存放 ;
●安全事件的解析:支持对①探测、②逃避、③病毒/木马、④系统状态与配置、⑤认证/访问/授权、⑥漏洞利用、⑦策略、⑧拒绝服务、⑨用户定义类等
●检索日志:可以根据日志和设备查看事件进行设备问题分析及管理,在一定时间内可对指定条件进行检索日志;
●条件动态解析:可以根据指定①日志排名、②日志分布、③日志关联,支持现有各种审计规则,支持合规性检查,如支持萨班斯审计;
●安全事件的纵向关联分析:即可以根据安全事件发生的因果关系,进行逻辑上关联分析;
●安全事件的横向关联分析:即可以根据同一时间里,发生的安全事件进行聚合,实现基于事件、基于资产和基于知识的关联分析;
●备份导入:支持将设备查看事件和相关日志进行备份和导入,支持日志分类,分类格式可自拟;
●事件告警:根据短信、邮件、邮件正文需嵌入工单链接、SNMP Trap、可视化图形显示进行事件报警,事件报警级别的定制,安全事件的分级集中展示;
●支持IP设备事件监控的内容和策略定制功能;
●可以对事件监视器的监控内容和策略进行集中化定制;
●信息采集:安全设备、主机系统、和现有的网络设备以及已经部署的安全系统,包括防火墙系统、准入系统、防病毒系统等,对这些安全事件监控对象的日志和事件告警信息进行集中收集,包括但不限于现有设备;
●监控组成:由操作系统版本、设备类型、目前常见的攻击事件、网络服务等属性组成;
●事件等级:支持根据不同的响应方式,明确对应相应安全事件等级。