综合IT系统运维审计解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
行为阻断 防火墙联动 堡垒主机 应用代理
砖取方式的报表展示
❖ 展示:用户选择好纵维和横维后,展示区中 显示的内容,即为基本的展示单元或报表单 元(参考详细分类报表),用户可点击纵维 或横维来展某一分类进行钻取查看。用户也 可以直接点击数据字段查看某组事件。
纵轴:按照从整体通过地域或业务系统两种途径 精确到IP(人员)。用户可以点击总体一直进入 某个具体的IP地址;
• 数据库行为
主流关系型数据库(Oracle/DB2/Mssql/Sybase/Informix等)的 SQL操作行为
• 应用行为
WEB和中间件服务器的访问,应用软件系统自身的操作记录
关联分析审计
❖ 操作行为关联审计
能够将系统层的日志、数据库日志、应用层的 日志及网络数据进行相互关联,再现用户的操 作过程,能够再现所有关键系统数据的访问、 修改和删除等。
产品功能
产品功能—系统功能
❖ 日志采集 日志来源 数据标准化/过滤/归并/压制
❖ 日志审计 行为审计 关联分析审计 基于用户实体的行为审计
❖ 实时监控 事件响应 操作阻断
❖ 审计报表 ❖ 系统管理
用户管理 用户角色/权限管理 对象管理 采集调度管理 数据备份管理
❖ 应日用业系务统志系日统志采集-审计日志来源
5)特殊探测器,Agent,为特殊目的一般安装在主机上的探测软件, 如针对UNIX主机操作、Windows系统Eventlog及其它操作运行信息
主机系统审计—wi开n关机 dows 系统登陆、注销
API (无客户端)
网络登陆 帐号增加、删除 用户属性更改(名称、权限、组等)
口令猜测
运行程序
策略更改(系统策略、审计策略等)
2)面向协议型收集器,Event Collector,提供常见协议的支持,如 Syslog、Snmp Trap、Opsec Lea等,少量可AMS主机内置
3)网络嗅探器,Network Sensor,通过旁路监听方式,网络协议还原 获取
4)数据库嗅探器,DB Sensor,通过旁路监听方式,数据库访问协议 还原获取
Ultr@AMS
审计 产品
集中身份管理系统
api/syslog/snmp
jdbc
URTR@AMS日志管理与审计系统
DB ULTR@AMS
syslog/ Jdbc/api
标准日志采集
日志审计
Api/jdbc
数据库嗅探硬件 流量审计
Api/jdbc
堡垒主机硬件 访问控制
Syslog/snmp
网络嗅探硬件 流量审计
产品体系结构
产品结构说明
❖ 数据接口层
数据接口层实现审计数据的采集及标准化,同时 还可以完成与其它日志系统的日志传输及结核。
❖ 核心业务层
实现数据的综合分析和关联分析,生成各种审计 报表。还提供日志的维护管理,和用户的维护管 理。
❖ 展示层
展示层以多种报告报表的方式让用户能够从多个
综合审计体系结构 第三方审计产品
审计报表——报表前转
❖ 报表前转主要包括两个方面:前转到工单和 自动邮件发送。
前转到工单:能将报表通过已有的电子工单系统 进行发送和处理
应用服务 ❖ 标准日志
系统日志文件 安全设备 网络设备 ❖ 网络流量的日志 网络嗅探 ❖ 外部系统日志(4A) 集中用户管理日志 集中认证日志 集中授权日志 访问控制日志 单点登录系统 堡垒主机日志
日志采集-全面的获取技术
1)面向文件型收集器,Filestream Collector,提供通用系统格式模 板库,支持自定义,配合通用文件采集Agent,部署分客户端安装 和外置模式
服务增加、删除、开启、关闭
Windows
Agent 系统日志
服务异常关闭 服务器硬件异常 日志清除
审计访问对象
应用程序异常
时间更改、驱动更改
Agent 系统监控
指定文件及文件夹操作 外部端口使用 CPU/内存/硬盘使用情况 服务和进程运行跟踪 补丁信息 ……
主机系统审计—UNIX
UNIX
Syslog
能够对不规则或频繁出现的事件能进行统计分 析、过滤和事件聚合等。
能够支持自定义的安全事件,能检测自定义的 安全事件。
能够提供自定义匹配模式便于查询。
❖ 事件关联审计
高危行为审计
❖ 能够对以下数据库高危操作进行审计包括: 数据库表的删除、关键数据项的修改及删除 等。
❖ 能够对以下应用层高危操作进行审计包括: 用户数据的修改、关键业务系统配置的修改。
企业审计要求——SOX审计 要求
企业审计要求——SOX-AMS对主机/系统审计要求及满足
❖ 用户登录退出报告(302条款 (a)-(4)-(C)~ (D))
❖ 用户登录失败报告(302条款 (a)-(4)-(C)~ (D))
❖ 特定文件、目录访问报告 ❖ 系统开机/关机报告 ❖ 系统时间修改报告 ❖ 系统日志修改报告 ❖ 系统远程登录报告 ❖ 系统帐号管理操作跟踪 (302条款 (a)-(6))
开关机 系统认证信息 口令猜测 帐户、组管理信息 关键配置文件错误 硬件告警、错误 内核错误信息 守护进程开启、关闭、错误
主机系统审计—安全设备
安全设备
Syslog Snmp Trap
安全设备状态改变 安全设备配置修改 安全设备本身告警 安全设备安全事件
网络事件审计—网络行为
网络事件
网络探针
Telnet登入/登出过程 Telnet用户命令操作 Ftp登入/登出过程 Ftp用户命令操作 Ftp文件上传下载 Web访问
网络事件审计—数据库
数据库事件
网络探针 数据库
访问源分析 用户登录 数据查询 数据修改 数据删除 数据定义 权限管理
设备支持列表
行为审计是审计内容的重点
通过各种技术手段获得使用者对信息系统各部 分的操作活动记录。
• 主机行为
操作系统层对用户的操作行为跟踪
• 网络行为
网络访问行为,http、ftp、smtp/pop、telnet、msn、bt
❖ 能够对以下高危操作进行审计包括:用户越 权访问、用户权限升级、更改口令、新建用 户、非正常时间登陆、多次错误登陆、审计 策略更改和其他异常事件。
日志分析和响应
实时ຫໍສະໝຸດ Baidu则库结合 自定义实时规则
支持多种告警方式 邮件 短信 声音 发送SYSLOG等
支持工单接口 发送工单 状态跟踪
砖取方式的报表展示
❖ 展示:用户选择好纵维和横维后,展示区中 显示的内容,即为基本的展示单元或报表单 元(参考详细分类报表),用户可点击纵维 或横维来展某一分类进行钻取查看。用户也 可以直接点击数据字段查看某组事件。
纵轴:按照从整体通过地域或业务系统两种途径 精确到IP(人员)。用户可以点击总体一直进入 某个具体的IP地址;
• 数据库行为
主流关系型数据库(Oracle/DB2/Mssql/Sybase/Informix等)的 SQL操作行为
• 应用行为
WEB和中间件服务器的访问,应用软件系统自身的操作记录
关联分析审计
❖ 操作行为关联审计
能够将系统层的日志、数据库日志、应用层的 日志及网络数据进行相互关联,再现用户的操 作过程,能够再现所有关键系统数据的访问、 修改和删除等。
产品功能
产品功能—系统功能
❖ 日志采集 日志来源 数据标准化/过滤/归并/压制
❖ 日志审计 行为审计 关联分析审计 基于用户实体的行为审计
❖ 实时监控 事件响应 操作阻断
❖ 审计报表 ❖ 系统管理
用户管理 用户角色/权限管理 对象管理 采集调度管理 数据备份管理
❖ 应日用业系务统志系日统志采集-审计日志来源
5)特殊探测器,Agent,为特殊目的一般安装在主机上的探测软件, 如针对UNIX主机操作、Windows系统Eventlog及其它操作运行信息
主机系统审计—wi开n关机 dows 系统登陆、注销
API (无客户端)
网络登陆 帐号增加、删除 用户属性更改(名称、权限、组等)
口令猜测
运行程序
策略更改(系统策略、审计策略等)
2)面向协议型收集器,Event Collector,提供常见协议的支持,如 Syslog、Snmp Trap、Opsec Lea等,少量可AMS主机内置
3)网络嗅探器,Network Sensor,通过旁路监听方式,网络协议还原 获取
4)数据库嗅探器,DB Sensor,通过旁路监听方式,数据库访问协议 还原获取
Ultr@AMS
审计 产品
集中身份管理系统
api/syslog/snmp
jdbc
URTR@AMS日志管理与审计系统
DB ULTR@AMS
syslog/ Jdbc/api
标准日志采集
日志审计
Api/jdbc
数据库嗅探硬件 流量审计
Api/jdbc
堡垒主机硬件 访问控制
Syslog/snmp
网络嗅探硬件 流量审计
产品体系结构
产品结构说明
❖ 数据接口层
数据接口层实现审计数据的采集及标准化,同时 还可以完成与其它日志系统的日志传输及结核。
❖ 核心业务层
实现数据的综合分析和关联分析,生成各种审计 报表。还提供日志的维护管理,和用户的维护管 理。
❖ 展示层
展示层以多种报告报表的方式让用户能够从多个
综合审计体系结构 第三方审计产品
审计报表——报表前转
❖ 报表前转主要包括两个方面:前转到工单和 自动邮件发送。
前转到工单:能将报表通过已有的电子工单系统 进行发送和处理
应用服务 ❖ 标准日志
系统日志文件 安全设备 网络设备 ❖ 网络流量的日志 网络嗅探 ❖ 外部系统日志(4A) 集中用户管理日志 集中认证日志 集中授权日志 访问控制日志 单点登录系统 堡垒主机日志
日志采集-全面的获取技术
1)面向文件型收集器,Filestream Collector,提供通用系统格式模 板库,支持自定义,配合通用文件采集Agent,部署分客户端安装 和外置模式
服务增加、删除、开启、关闭
Windows
Agent 系统日志
服务异常关闭 服务器硬件异常 日志清除
审计访问对象
应用程序异常
时间更改、驱动更改
Agent 系统监控
指定文件及文件夹操作 外部端口使用 CPU/内存/硬盘使用情况 服务和进程运行跟踪 补丁信息 ……
主机系统审计—UNIX
UNIX
Syslog
能够对不规则或频繁出现的事件能进行统计分 析、过滤和事件聚合等。
能够支持自定义的安全事件,能检测自定义的 安全事件。
能够提供自定义匹配模式便于查询。
❖ 事件关联审计
高危行为审计
❖ 能够对以下数据库高危操作进行审计包括: 数据库表的删除、关键数据项的修改及删除 等。
❖ 能够对以下应用层高危操作进行审计包括: 用户数据的修改、关键业务系统配置的修改。
企业审计要求——SOX审计 要求
企业审计要求——SOX-AMS对主机/系统审计要求及满足
❖ 用户登录退出报告(302条款 (a)-(4)-(C)~ (D))
❖ 用户登录失败报告(302条款 (a)-(4)-(C)~ (D))
❖ 特定文件、目录访问报告 ❖ 系统开机/关机报告 ❖ 系统时间修改报告 ❖ 系统日志修改报告 ❖ 系统远程登录报告 ❖ 系统帐号管理操作跟踪 (302条款 (a)-(6))
开关机 系统认证信息 口令猜测 帐户、组管理信息 关键配置文件错误 硬件告警、错误 内核错误信息 守护进程开启、关闭、错误
主机系统审计—安全设备
安全设备
Syslog Snmp Trap
安全设备状态改变 安全设备配置修改 安全设备本身告警 安全设备安全事件
网络事件审计—网络行为
网络事件
网络探针
Telnet登入/登出过程 Telnet用户命令操作 Ftp登入/登出过程 Ftp用户命令操作 Ftp文件上传下载 Web访问
网络事件审计—数据库
数据库事件
网络探针 数据库
访问源分析 用户登录 数据查询 数据修改 数据删除 数据定义 权限管理
设备支持列表
行为审计是审计内容的重点
通过各种技术手段获得使用者对信息系统各部 分的操作活动记录。
• 主机行为
操作系统层对用户的操作行为跟踪
• 网络行为
网络访问行为,http、ftp、smtp/pop、telnet、msn、bt
❖ 能够对以下高危操作进行审计包括:用户越 权访问、用户权限升级、更改口令、新建用 户、非正常时间登陆、多次错误登陆、审计 策略更改和其他异常事件。
日志分析和响应
实时ຫໍສະໝຸດ Baidu则库结合 自定义实时规则
支持多种告警方式 邮件 短信 声音 发送SYSLOG等
支持工单接口 发送工单 状态跟踪