功能模塊

功能描述

審計儀表盤

¨    支持自定義儀表盤，可在一個儀表盤中選擇多個對應的微件，可男店涵蓋日志中的所有字段，儀表盤具有全屏監控功能

¨     儀表盤中可直接導入事件統計中的各類圖表

¨     支持實時(shí)監控，支持配置實時(shí)監控策略

¨     支持創建多個儀表盤

資(zī)産管理

¨    支持資(zī)産主動發現。通(tōng)過對網絡進行資(zī)産掃描，可将發現人友的IP對象轉資(zī)産或删除

¨    支持資(zī)産被動發現。可将網絡劃分成多個安全域，系統能自男去動發現安全域中的IP對象,并可以轉資(zī)産或删除

¨    支持添加、修改、删除資(zī)産；支持對資(zī)産的基本屬性進一生行維護，并可以增加自定義屬性

¨    支持拓撲自動發現，可手動添加拓撲，并能夠展示整體安腦線全、事件分布、告警分布等

¨    支持資(zī)産自定義分級分組、标簽

¨    支持在一個資(zī)産下添加多個日志源（日志采集的對象）

¨    支持資(zī)産性能監控，如(rú)監控CPU、内存、磁盤使用率等資(zī)産指标

¨    支持資(zī)産地圖，可查看資(zī)産整體安全狀态、性舞廠能指标信息以及關聯日志源的日志信息

日志采集

¨    支持采集的對象包括安全設備、網絡設備、操作系統、數據章民庫、中間件、應用系統、虛拟機等

¨    支持主動、被動相結合的數據采集方式，支持通(t物笑ōng)過Agent采集日志數據，支持通(tōng)過Syslog、SNMP Trap、HTTP、TCP、telnet、JDBC、WMI、文件、Kafka等方式采集日志

¨    支持日志标準化解析（範式化、歸一化），将不(bù)同格式日志解析為(wèi)多現姐個字段，自動識别系統類型至少達到200種

¨    支持日志自定義解析，系統自帶圖形化工(gōng)具，可通(tōng)過GROK、分隔符、JSON、XML、時(shí)間等自定義解析規則

¨    支持解析規則的批量導入/導出

¨    支持日志源的自動發現，根據接收到的日志自動識别并創建日志到國源

¨    支持日志源的自定義分級分組

¨    支持不(bù)同設備相同IP的日志識别

¨    支持自定義日志過濾策略，支持全局過濾、局部過濾，可選擇對單個或多個日志源進員地行日志過濾

¨    日志過濾支持字段過濾與指定時(shí)段過濾

¨    支持對單個/多個日志源批量轉發，支持定時(shí)轉發嗎去，可通(tōng)過Syslog、TCP和Kafka方式轉發到第三方平台，并且支持轉發原始日志和已解析日志

日志分析

¨    系統内置審計策略，内置審計策略至少600條

¨    支持自定義審計策略

¨    支持從審計策略模闆直接創建策略，并可通(tōng)過事件的任意船但字段制定規則創建策略

¨    審計策略可以定義審計事件的名稱、分類、級别以及命中後雪老是否繼續匹配其餘審計策略

¨    提供預置審計策略模闆，包括：Windows主機類審計策略模闆、Linux/Unix主機類審計策略模闆、防火牆類審計策略模闆、我鐵掃描器(qì)類審計策略模闆、IDS/IPS類審計策略模闆、防病毒類審計策略模闆、數據庫系統類審計策略模闆、薩班斯審計讀分策略模版、等級保護審計模闆等

¨    内置網站攻擊、主機異常、賬号異常、暴力破解、漏洞利用、權限異常等至少10種安全分析場景，内置關聯規則至少400條

¨    支持關聯規則自定義設置功能，支持類型包括過濾規則、統計規則、序列規則、模式規則森資、多源日志關聯和機器(qì)學習

¨    支持跨設備的多事件關聯分析，若日志滿足系統内置或用近和戶定義的關聯規則，将産生關聯事件

¨    關聯事件管理可以統一監控事件的命中情況，包括來源的設備、事件類型、最低話近命中時(shí)間以及命中總次數等

¨    支持接收來自下級日志采集器(qì)轉發的日志、安全事件和告一船警事件進行二次分析、關聯

¨    支持自定義數據字典，系統可從各類日志、事件中抽取相關片段準确和完整地映射資男至安全事件的标準字段，内置映射字段至少達到1000個

¨    支持活動列表，可動态維持數據之間的關系映射，秒很如(rú)賬号與審計人員、IP與審計人員、是否是上班時(shí)間等

¨    支持地理信息映射，根據其所選IP字段，映射到國家(jiā)、省份、城市、安全域等

流量審計

¨    支持對鏡像流量的審計，審計内容包括mysql、pgsql、mongodb、redis、人大(dà)金(jīn)倉、http等數據庫和流量審計

日志檢索

¨    支持對解析後日志、安全事件、告警事件、原始日志等的查詢

¨    支持日志查詢普通(tōng)模式，可通(tō草大ng)過關鍵字等方式查詢

¨    支持日志查詢高級模式，可通(tōng)過多關鍵字、模糊、正則表達式等方式組合查購們詢

¨    支持将查詢結果進行保存、導出

¨    支持查詢條件保存為(wèi)查詢模版，用于後續快捷調用

統計報表

¨    支持生成綜合報表、數據報表和統計報表

¨    支持導出PDF、WORD、EXCEL、CSV報告

¨    内置事件統計策略和圖表，支持自定義事件統計策作相略和圖表

告警管理

¨    系統内置豐富審計類和關聯類告警策略，并靈活支持自定義策略

¨    對于告警的處理主要包括忽略、處理

¨    具備告警合并和在一個時(shí)間段内抑制報警次數的能力

¨    可指定告警接收人員

¨    告警方式包括短(duǎn)信、郵件、釘釘等睡自

知識庫

¨    内置知識文章、事故案例、安全級别要求、典型日志吧月事件介紹、日志審計配置指導等。并支持自定義創建增加知識庫内容

系統管理

¨    支持系統參數配置，包括自定義磁盤、CPU、内存等百分比告警阈值

¨    支持系統基本配置，包括修改主機名稱、網絡高冷接口IP、路由等，内置抓包、PING、端口測試等工(gōng)具

¨    支持設置日志存儲備份策略，包括系統日志保存期（容量/天）、磁盤使用率百分比等

¨    支持日志文件遠程備份到外置存儲節點，支持FTP、NFS、ISCSI、SMB等存儲方式

¨    支持數據容錯(cuò)，支持将錯(cuò)誤日志重新入庫

¨    日志接收隊列大(dà)小可配置，可存儲因超過最大(dà)接收性能而照什未入庫的日志

¨    支持集群管理，支持審計中心、日志采集器(qì)的策略配置大地及下發

¨    支持個性化管理，用戶可自定義新的平台名稱、導航欄名稱、LOGO标識等

用戶管理

¨    用戶支持三權分立設計模型 ，支持自定義權限角色

¨    支持連續登錄失敗鎖定用戶，支持自定義失敗次數、鎖定時(shí)間、用戶時計登錄後超時(shí)時(shí)間

¨    支持管理員訪問控制，可設置指定IP、網段允許或拒絕管理員登錄

¨    支持自定義密碼強度設置，可自定義用戶密碼強度要求，密碼複雜度、長(chán兵人g)度

¨    支持多因子(zǐ)認證，認證方式可為(wèi)郵件、短長妹(duǎn)信

部署要求

¨    支持集中和分布式部署、集群部署、熱擴容

¨    系統全面支持IPV4/IPV6

¨    采用B/S架構操作方式，無需安裝客戶端軟件

¨    采用旁路接入模式，設備部署不(bù)影響原有網絡結構