H3C SecCenter CSAP-SA 綜合日志審計(jì)技術(shù)白皮書（2021-01-11）

H3CSecCenterCSAPV100R001B04技術(shù)白皮書頁獨(dú)創(chuàng)性亮點(diǎn)主被動(dòng)結(jié)合的多協(xié)議日志采集通過主被動(dòng)結(jié)合的手段，實(shí)時(shí)不間斷地采集用戶網(wǎng)絡(luò)中各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)等產(chǎn)生的海量日志信息，支持通過Syslog、SNMPTrap、NetFlow、ODBC/JDBC、私有TCP/UDP等網(wǎng)絡(luò)協(xié)議進(jìn)行日志采集。多樣化日志接入與適配對(duì)收集的各種日志進(jìn)行數(shù)據(jù)分類和范式化處理，將各種不同類型和表達(dá)方式的日志轉(zhuǎn)換成統(tǒng)一的日志格式，屏蔽了不同廠商以及不同類型的產(chǎn)品之間的日志差異，這樣審計(jì)人員不必再去熟悉不同廠商不同的日志信息，滿足復(fù)雜的多維度統(tǒng)計(jì)分析和審計(jì)要求，從而大大提升審計(jì)工作效率。覆蓋能力全、采集范圍廣系統(tǒng)支持35余類400種設(shè)備類型，覆蓋國內(nèi)外主流設(shè)備。產(chǎn)品涵蓋：安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)終端、操作系統(tǒng)、中間件，數(shù)據(jù)庫、應(yīng)用系統(tǒng)等。多維事件關(guān)聯(lián)分析系統(tǒng)具備多維事件關(guān)聯(lián)分析能力，能夠通過邏輯關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)、時(shí)間序列關(guān)聯(lián)對(duì)指定時(shí)間范圍內(nèi)的歷史日志進(jìn)行相關(guān)性分析，將來自不同信息源的日志融合到一起，發(fā)掘出日志之間的關(guān)系，發(fā)現(xiàn)歷史日志中存在的入侵與違規(guī)。多任務(wù)全局威脅告警通過綜合分析來自防火墻、IDS、系統(tǒng)日志、主機(jī)等一系列的安全，可以精確地定位安全威脅，使得管理員通過收到的告警進(jìn)行分析，并快速生成應(yīng)急響應(yīng)預(yù)案，實(shí)現(xiàn)風(fēng)險(xiǎn)資產(chǎn)的預(yù)警、響應(yīng)和處置。典型部署方式用戶價(jià)值H3C綜合日志審計(jì)平臺(tái)實(shí)現(xiàn)從日志采集、日志存儲(chǔ)、日志檢索到綜合分析與審計(jì)的整個(gè)日志生命周期管理，通過分析日志中的安全事件，識(shí)別各類性能故障、非法訪問控制、不當(dāng)操作、惡意代碼、攻擊入侵，以及違規(guī)與信息泄露等行為，可以幫助協(xié)助客戶解決網(wǎng)絡(luò)中日志分散、種類