3、云日志审计

3.1 需求概述

       目前国家的政策法规、行业标准等都明确对日志审计提出了要求，日志审计已成为企业满足合规内控要求所必须的功能，成为采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。云日志审计要为云上用户更好监控和保障信息系统运行，及时识别针对信息系统的入侵攻击、内部违规等信息，同时日志审计能够为安全事件的事后分析、调查取证提供必要的信息。因此日志审计平台应具备如下的功能特性：

        符合政策法规的规范性要求

        可对分散的海量日志进行统一收集

        可对不同格式的日志进行规范化的处理

        可对日志进行集中存储、分析、审计和展示

3.2 功能概述

       保障信息系统的安全，目的是保护有价值的信息和保障业务的安全持续可用。这包含了 2 个层次，第一层次是保护有价值的信息，这也是一般的中小型企业的主要的 IT 安全需求；第二个层次是保障业务的安全持续可用，这又包含了 3 个方面，即整个业务过程和业务服务的保密性、完整性和可用性。

       具体到云日志审计系统，为了帮助租户利用所有的安全设施去保障信息资产和业务服务的保密性、完整性和可用性，用户希望得到的是一个整体化的安全信息总控中心

3.3 功能说明

       云日志审计系统可通过内置的日志采集功能可实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息，然后经过统一的日志管理过程，如日志范式化处理等，将采集来的海量的异构的日志信息进行集中化的解析和存储，结合资产管理模块、事件告警模块的相关规则以及配置，形成事件告警信息，用户可基于这些进行进行原始日志、范式化日志以及事件、告警等信息的查询，并可通过丰富灵活的日志报表功能进行可视化的查看，实现对日志的全生命周期管理。

3.3.1 日志采集

       云日志审计系统需要全面支持 Syslog、SNMP、OPSec、XML、FTP 及本地文件等协议，需要覆盖主流设备、主机及应用，保障日志信息的全面收集。实现信息资产（网络设备、安全设备、 主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合，同时可将收集的日志通过转发功能转发到其他网管平台等。全面收集系统业务日志，可以全面性的了解信 息系统的安全状态，预测（事前）、应对（事中）、和追踪（事后）系统安全问题。同时提供统一的 集中性视图让用户快速识别当前系统安全状态。

3.3.2 范化能力

       云日志审计系统需要支持对收集到的日志进行解析（标准化、归一化），解析规则可以根据客户要求定制扩展，可对日志进行细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息。需要支持多品牌，多种设备型号的接入。

3.3.3 日志检索

       云日志审计系统需要支持智能检索功能，可通过输入的关键字条件快速检索到相关的日志数据，并可以进一步查看 日志数据的详细信息。支持通过关键字、条件表达式、时间范围等对事件及数据进行快速检索，快速定位到运维分析人员关注的威胁事件和上下文数据，并支持查看数量趋势统计和检索结果详细数据。支持搜索保存功能，当搜索得到有价值的数据，用户可以选择保存搜索，以便后续直接使用。支持 TB 级别的数据量检索，检索结果返回时延在秒级内

3.3.4 安全分析

       对于收集到的事件种类多，数量大，为了更有效地对这些海量的事件进行分析和处理，确保第一时间对各种存在的安全问题采取措施，系统必须具有强大的事件处理和分析功能。

       云日志审计系统需实现全维度、跨设备、细粒度关联分析，需内置众多的关联规则，支持网络安全攻防检测、合规性检测，租户可轻松实现各资产之间的关联分析。同时系统还需支持收集和管理来自各种 Web 漏洞扫描、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击日志进行风险三维关联分析。

           1）非法访问审计，通过对业务系统的登录、访问日志的分析，对非正常时间登录、来自可疑列表 IP 的访问等不合规、非法的访问行为进行审计。可疑入侵审计，通过收集业务系统各来源的日志，对于暴力破解、主机扫描、溢出攻击、Dos 攻击等多种入侵行为进行实时实时统计分析。

           2）病毒爆发审计，通过对业务系统异常进程日志的分析，对防病毒软件异常退出\检测异常、网络 流量异常、网络扫描活动、网络蠕虫行为、系统中毒警报进行审计分析。

           3）设备异常审计，通过收集业务系统系统日志，对于可能影响系统操作的故障\阈值超标、核心服 务器关机及 syslog 服务进程关闭、可能的系统异常及受攻击异常进行审计分析。

           4）弱点针对审计，通过收集业务系统中已存在的弱点信息集合各来源日志，对系统中可能存在的 弱点利用行为进行统计审计分析。

3.3.5 日志存储

       云日志审计系统需采用非关系型数据库存储的存储方式来保存数据，支持对近期数据的实时搜索、历史数据的快速检索、对数据归档备份以备追溯和审计的需要，同时为后续的数据挖掘、大数据分析积累数据。对日志存储有如下要求：

          1）支持原始日志保存：对采集的日志进行保存时，不会对原始数据做任何修改

          2）支持压缩存储：支持对原始日志的压缩。

          3）支持自动备份日志指 FTP 等文件服务器中。

          4）日志存储备份策略。包括系统日志保存期（天）、磁盘使用率百分比；系统提供固定的归档目录，支持日志备份自动传送到远程服务器备份数据可在需要时进行恢复

3.3.6 日志告警通知

       云日志审计系统支持自定义告警规则，通过创建告警监控各种安全信息、系统指标或者健康度信息等，并实施预警以保证系统安全性、可靠性、异常问题的及时解决等问题，并需支持以下告警通知方式：

          1）邮件告警：可以将告警信息通过邮件发送至负责人邮箱。

          2）支持 Rsyslog 告警转发：可以将告警信息通过 syslog 接口发送至第三方 syslog 服务器。

          3）支持短信告警：通过短信网关触发短信告警 ，或者通过短信猫方式发送告警。

          4）防止在短时间内遭遇告警轰炸，支持自由设定告警抑制方案，避免出现告警风暴。