2024深信服日志審計系統（LAS）產品白皮書

LAS-1000V3.0--PAGE\*ROMANII概 需求背 法規(guī)標準要 等級保 網絡安全 信息安全管理的需 安全技術保障體系建設要求的需 規(guī)范符合性要求的需 產品概 產品定 深信服日志審計系統介 產品架構與性 產品架 工作原 產品功能與特 產品功 采集管 攻擊檢 數據識別（標準化 過濾和歸 實時監(jiān) 會話審 事件分 審計管 告警監(jiān) 資產管 產品優(yōu)勢與價 產品優(yōu) 全面的采集能 精準的溯源定 高效的實時分 強大的檢索查 豐富的策略模 豐富的合規(guī)模 靈活的部署方 簡便易用的界面風 靈活通用的系統設 產品價 產品應用場 訪問控制審 網絡安全檢 等保相 隨著各類組織、企業(yè)對信息系統的應用不斷深入。為了在復雜網絡環(huán)境下應（企業(yè)部署了大量的、不同種類、形態(tài)各異的信息安全產品：在此基礎上，對日志進行實時的事件分析和審計分析、從而進行實時的事件數據庫和其它應用進行全面的日志安全審計。因為日志審計是日常信息安全管理中最為重要的環(huán)節(jié)之一；能從紛繁復雜的日志中萃取出具有價值的部分是各類信息安全管理者、參與者、相關者最大的訴志審計是檢測安全事件的不可或缺重要手段之一。大部分信息系統所依賴的入侵相關標準、規(guī)范也均明確提出信息安全審計系統的重要性，如薩班斯法案、ISO27001等均要求企業(yè)對重要系統、設備的運行日志進行保留，并且周期性地進P歸屬及地理位置信息數據，為安全事件的分析、溯源提供了有力支撐，深信服日志審計系統能夠同時滿足企業(yè)實際運維分析需求及審計合規(guī)需求，是企業(yè)日常信息安全工作的重要支撐平臺。B/S關聯分析|關聯分析|狀態(tài)|時序|歸并|大數據分析平臺|提取|清洗|實時分析|統計分析|基于行為|AAA綜合展現|實時監(jiān)控|查詢|鉆取|告警|統計圖表|趨勢圖|采集|分類|標準化|過濾|歸并|轉發(fā)|采集方 SNMP

文 鏡像流

4.1攻擊檢測來源于對網絡流量的應用層進行檢測，需要配合相關特征庫，通過描、拒絕服務攻擊、漏洞利用攻擊、SQL注入攻擊、緩沖區(qū)溢出攻擊、Webshell及其它類型的注入攻擊；HTTPHTTPHTTPBBS訪問、HTTP網頁標題、HTTP威脅情報、HTTPDGA域名（DGA域名庫、機器學習）HTTP會話等，數據中至少包含請求方法、返回值、DNSDNSDNS威脅情報、DNSDGA域名、DNS解碼錯誤、DNS解析錯誤、DNS解析超時，數據中至少包含請求域名（FQDN）、DNS服務器地址、DNS服務器端口、請求返回解析FTPFTP會話數據，數據中至少包含登錄用戶、傳輸文件名以及操TelnetTelnet會話數據，數據中至少包含登錄用戶以及操作命令的實Mysql、SQLServer、Oracle等主流數據庫，數據中至少應包含登錄用戶名、操作命令（SQL語句）等信息。POP3，SMTP、IMAP協議，數據中至少TLSIPCIPMODBUS的功能碼、功能描述，IEC、EthernetIIPCIP的命令等信息。如防火墻、IPS等）：網絡攻擊、有害代碼、漏洞、用戶訪問存取、系統運行、設方式的關聯；支持短時間內的序列審計；支持長時間的審計（30天）為了處理不同網絡的資產同PP為了用戶便于集中、靈活地管理所轄范圍內的資產，深信服日志審計系統支持用戶自定義資產管理視圖。API、協議、文件、FTP、SNMPTrap、鏡像流量等多種方式接入全平臺FTP、數據庫、SMB、Console（需定制開發(fā)）等方式采集。支持200多種設備日NGAFWAFIDS操作系統：Linux、Windows、WindowServer、Unix等操作系統數據庫：Oracle、MySQL、SQLServerApache、Tomcat、IIS、WeblogicAC、AD、Cisco、華為、Juniper等。虛擬化平臺：VMwareESXi、KVM、Xen系統內置全面的全球地理信息庫，準確、高效地定位威脅來源，提供用戶實億級（TB）1SQL注入、IP系統默認提供等級保護三級、SOX法案的分類，提供對主機、應用、網絡安Syslog可處理：發(fā)現安全事件