DatSIEM安全管理与审计系统产品概况
DatSIEM安全管理与审计系统产品概况

产品定位 

泰利思诺DatSIEM安全管理与审计系统提供了众多基于日志分析功能,如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等,系统配备了全球 IP 归属及地理位置信息数据,为安全事件的分析、溯源提供了有力支撑,系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息安全工作的重要支撑平台。 


安全管理与审计系统介绍 

泰利思诺DatSIEM安全管理与审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类 的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息,协助用户 进行安全分析及合规审计,及时、有效的发现异常安全事件及违规事件。 系统提供了众多基于日志分析的强大功能,如安全日志的集中采集、分析挖 掘、合规审计、实时监控及安全告警等,系统配备了全球 IP 归属及地理位置信息 数据,为安全事件的分析、溯源提供了有力支撑,系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息安全工作的重要支撑 平台。 


产品架构 

产品架构: 产品采用 B/S 架构操作方式,无需安装客户端软件。 



工作原理 

泰利思诺DatSIEM安全管理与审计系统的主要功能包括如下模块: 

  • 采集层:采集各种设备的事件日志,标准化为统一的格式,然后进行过滤、归并、关联和审计,通过会话解析从海量日志中分析潜在的安全问题,同时进行相关数据的存储和管理; 
  • 分析层:系统通过分析引擎,对日志进行关联分析、攻击检测、审计分析和统计分析,并对异常事件告警策略进行管理; 
  • 展现层:综合展现层是系统的展示层。该层通过个人工 作台和安全概览,将整个系统收集、分析、管理的安全事件、告警概况、 会话审计等信息多维度的展现在用户面前。 


产品优势

全面的采集能力

通过 API、协议、文件、FTP、SNMP Trap 多种方式接入全平台数据,智能 

地进行数据解析并整合。系统支持 Syslog、SNMP Trap、文件、WMI、FTP、数 据库、SMB、Console(需定制开发)等方式采集。支持 200 多种设备日志解析,主流设备包括: 

1) 安全设备:深信服 NGAF、启明 WAF 防火墙、绿盟 IDS、华为防火墙、Juniper防火墙、天融信防火墙等; 

2) 操作系统:Linux、Windows、Window Server、Unix 等操作系统; 

3) 数据库:Oracle、MySQL、SQL Server 等; 

4) 应用系统:如 Apache、Tomcat、IIS、Weblogic 等; 

5) 网络设备:主流的路由器、交换机、负载均衡等网络设备等,如深信服 AC、AD、Cisco、华为、Juniper 等。 

6) 虚拟化平台:VMware ESXi、KVM、Xen 等。 

精准的溯源定位 

系统内置全面的全球地理信息库,准确、高效地定位威胁来源,提供用户实时的全球攻击溯源展现。 

高效的实时分析 

支持基于规则、基于统计、基于情报的分析模型。内置丰富的安全监控场景模板,例如堡垒机绕行审计、异常登录时间审计、异常流量审计等。系统采用流式分析模式,实时分析接入的海量日志,实时挖掘潜在威胁。 

强大的检索查询 

1) 亿级(TB)原始日志查询耗时低于 1 秒;  

2) 支持简单易用的日志查询普通模式,根据系统预置的查询条件,根据用户需求查询对应的日志,并且支持查询条件的保存,供后续快捷使用; 

3) 支持更加精确的专家模式查询,根据页面的指导提示,通过组合查询表达式完成精确查询。 

丰富的策略模型 

经过长时间在电信、医疗、高校、政府等行业的应用,积累了丰富有效的安全策略场景模型,包含异常行为分析类、业务攻击分析类等。 

1) 异常行为分析类如登录异常、操作异常等; 

2) 业务攻击分析类如 SQL 注入、IP 欺骗等; 

3) 流量统计类如互联网出口流量异常,周期时间内某个时间段内的流量不在正常范围内。 

丰富的合规模板 

系统默认提供等级保护三级、SOX 法案的分类,提供对主机、应用、网络安全等多个层面的报表实例。 

丰富的合规模板 

系统默认提供等级保护三级、SOX 法案的分类,提供对主机、应用、网络安全等多个层面的报表实例。 

灵活的部署方式 

支持单机、分布式采集、集群部署。 

简便易用的界面风格 

系统通过提供入门向导、个人工作台、任务通知、快捷菜单等方式,为用户提供了简单易用的界面,即使是初次使用综合日志分析系统,也完全能在较短的时间内掌握。 


灵活通用的系统设计 

 

1) 可配置的安全概览等系统功能菜单; 

2) 支持用户自定义的事件关联策略、审计策略; 

3) 灵活的日志标准化解析脚本; 

4) 具有优秀扩展性的第三方接口,如告警外发 Syslog 与第三方平台对接。 


产品价值


可发现:具备对海量安全事件的采集、分析、处理报告能力,可以实时动态展现当前安全事件态势,实时获知异常安全事件或审计违规告警。按需展现各类关注事件的分布状况,可集中管理各类安全事件和安全资产,能够智能化分析安全事件对业务系统可能产生的实际影响和危害,减轻通过人工甄别大量事件的工作难度,提高管理工作效率,降低运维工作负担。 

可处理:发现安全事件风险是为了更好更快的处理。系统 具备安全告警功能,可通过技术手段将发现的安全事件告警纳入到日常安全运维流程中,与第三方设备进行告警联动,建立安全事件处理的自动化体系,提供安全问题处理的效率。 

可审计:具备针对各类信息安全管理标准或要求的日志审计能力,提供针对诸如等级护要求、SOX 信息安全审计要求、企业内部下发的信息安全工作要求的 审计策略,支持通过技术手段实现日志审计工作的自动执行、自动核查、自动报告功能。 

可度量:针对信息安全事件日志的采集、分析、处理情况,结合信息安全资产的 IT 属性,能够实现对企业信息安全情况的分析和审计。系统可度量企业信息安全的安全水平,给出企业对各种审计要求的符合性程度,指 导企业的信息安全管理和建设工作。