现在的位置: 首页 > 安全 > 正文

综合日志审计系统

2020年04月18日 安全 ⁄ 共 867字 ⁄ 字号 暂无评论

从结构化的视角看日志,可以从内在属性和外在属性着手。

内在属性是从时间戳、字段、字段命名等日志内容本身所具备的信息内容的角度,对日志进行分析。

外在属性是从来源、归属分类、资产信息等维度来分析。来源是指日志来自哪台主机、哪个 IP;归属分类是从日志的所属系统及日志用途等方面看日志;日志的资产信息是指日志的负责人、负责人的联系方式等相关信息,可以通过平台将日志与负责人进行关联,以便事故发生后可以直接通知到相关负责人

2) DNS 会话审计
从流量中还原 DNS 会话数据,并根据会话特征进一步深度解析 DNS 威胁情报、DNS DGA 域名、DNS 解码错误、DNS 解析错误、DNS 解析超时,数据中至少包含请求域名(FQDN)、DNS 服务器地址、DNS 服务器端口、请求返回解析地址等信息。

3)FTP 会话审计
从流量中还原 FTP 会话数据,数据中至少包含登录用户、传输文件名以及操作命令等信息。

3)Telnet 会话审计
从流量中还原 Telnet 会话数据,数据中至少包含登录用户以及操作命令的实际内容等信息。数据库会话审计从流量中还原主流数据库会话数据,如 Mysql、SQLServer、Oracle 等主流数据库,数据中至少应包含登录用户名、操作命令(抓取 SQL 语句)等信息。

4)邮件会话审计
从流量中还原邮件会话数据,包括 POP3,SMTP、IMAP 协议,数据中至少包含收件人、发件人、主题、附件名称等信息。

5)TLS 会话审计
从流量中还原 TLS 会话数据,主要针对 SSL/TLS 握手部分(非加密),数据中至少包含服务器及客户端证书、服务器名称等信息。

6)工控会话
从流量中还原应用协议为 IEC104、MMS、MODBUS、OPC、OPCUA、EthernetI IP 和 CIP 的工控会话,数据中包含工控会话的 MODBUS 的功能码、功能描述,支持解析 IEC、EthernetI IP 和 CIP 的命令等信息。

7)其他会话审计
其他会话均通过可以通过组合条件查询网络会话支撑审计,网络会话列表包含了全流量的会话还原留存,会话详情将根据 SSH、SMBv1/v2、DCERPC 自动适配字段展现。

抱歉!评论已关闭.