综合IT系统运维审计解决方案PPT(共 38张)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如针对UNIX主机操作、Windows系统Eventlog及其它操作运行信息 共 同 发 展
主机系统审计—windows
API (无客户端)
Windows
Agent 系统日志
Agent 系统监控
开关机
系统登陆、注销
网络登陆
居
帐号增加、删除
利 思
用户属性更改(名称、权限、组等)
义
口令猜测
运行程序
身
策略更改(系统策略、审计策略等)
DB ULTR@AMS
syslog/ Jdbc/api
标准日志采集
日志审计
Api/jdbc
数据库嗅探硬件 流量审计
Api/jdbc
堡垒主机硬件 访问控制
居 利 思 义
身 劳 心 安
人 强 我 强
共 Syslog/snmp 同
发 展 网络嗅探硬件 流量审计
居 利 思 义
身 劳 心 安
产品功能
人 强 我 强
共 同 发 展
产品功能—系统功能
► 日志采集
● 日志来源
● 数据标准化/过滤/归并/压制
► 日志审计
居 利
● 行为审计
思 义
● 关联分析审计
● 基于用户实体的行为审计
身 劳
► 实时监控
心
● 事件响应
安
● 操作阻断
人
► 审计报表
强 我
► 系统管理
强
● 用户管理
● 用户角色/权限管理
共 同
● 对象管理
Syslog
帐户、组管理信息 关键配置文件错误
人 强 我
硬件告警、错误
强
内核错误信息
守护进程开启、关闭、错误
共 同
发
展
主机系统审计—安全设备
居 利 思 义
身 劳 心 安
安全设备状态改变
安全设备
Syslog Snmp Trap
安全设备配置修改 安全设备本身告警
人 强 我
安全设备安全事件
强
共 同 发 展
身 劳
心
► 展示层
安
● 展示层以多种报告报表的方式让用户能够从多个角度清楚的洞 人
察系统的运行情况,实现对审计系统的配置管理,实现综合审
强 我
计和报表展示。
强
共 同 发 展
综合审计体系结构
第三方审计产品 审计 产品 api/syslog/snmp
Ultr@AMS 集中身份管理系统
jdbc
URTR@AMS日志管理与审计系统
共
● 集中授权日志
同
● 访问控制日志
发 展
● 单点登录系统
● 堡垒主机日志
日志采集-全面的获取技术
1)面向文件型收集器,Filestream Collector,提供通用系统格式模
板库,支持自定义,配合通用文件采集Agent,部署分客户端安装 居
和外置模式
利 思
2)面向协议型收集器,Event Collector,提供常见协议的支持,如 义
居 利
► 特定文件、目录访问报告
思 义
► 系统开机/关机报告
身
► 系统时间修改报告
劳 心
► 系统日志修改报告
安
► 系统远程登录报告
人 强
► 系统帐号管理操作跟踪 (302条款 (a)-(6))
我 强
► 审计策略变更跟踪(302条款 (a)-(5))
共
► 用户认证成功/失败报告
同 发
► 应用访问报告(302条款 (a)-(5))
日志采集方式
标准日志采集(syslog)
Syslog、Snmp Trap、Opsec Lea等,少量可AMS主机内置
身
3)网络嗅探器,Network Sensor,通过旁路监听方式,网络协议还原
劳 心
获取
安
4)数据库嗅探器,DB Sensor,通过旁路监听方式,数据库访问协议 人
还原获取
强 我
5)特殊探测器,Agent,为特殊目的一般安装在主机上的探测软件, 强
居 利 思 义
身 劳 心 安
人 强 我 强
综合IT系统运维审计解决方案
共 同 发
展
居 利 思 义
身 劳 心 安
企业审计要求——SOX审计要求
人 强 我 强
共 同 发 展
企业审计要求——SOX-AMS对主机/系统审计要求及满足
► 用户登录退出报告(302条款 (a)-(4)-(C)~ (D))
► 用户登录失败报告(302条款 (a)-(4)-(C)~ (D))
人 强 我 强
数据定义
权限管理
共
同
发
展
设备支持列表
分类 主机系统
防火墙 入侵检测 网络设备
服务器
子类 Solaris AIX Windows Linux HP Unix Check Point Cisco PIX Netscreen 华为 CA(NIDS) ISS(HIDS) 华为 CISCO Juniper WebLogic WebSphere Apache Microsoft IIS Domino Sendmail Exchange
日志内容 系统日志 系统日志 Eventlog 系统日志 系统日志 管理日志/告警日志 管理日志/告警日志 管理日志/告警日志 管理日志/告警日志 告警日志 告警日志 管理日志 管理日志 管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志
网络事件审计—网络行为
居 利 思 义
身
劳
心
Telnet登入/登出过程
安
Telnet用户命令操作
网络事件
网络探针
Ftp登入/登出过程 Ftp用户命令操作
人 强 我
Ftp文件上传下载
强
Web访问
共 同 发 展
网络事件审计—数据库
居 利 思 义
身
劳
访问源分析
心
用户登录
安
数据库事件
网络探针 数据库
数据查询 数据修改 数据删除
发 展
● 采集调度管理
● 数据备份管理
● 系统日志管理
● 系统分级管理
日志采集-审计日志来源
► 应用系统日志
● 业务系统
● 应用服务
居
► 标准日志
利 思
● 系统日志文件
义
● 安全设备
身
● 网络设备
劳 心
► 网络流量的日志
安
● 网络嗅探
人
► 外部系统日志(4A)
强 我
● 集中用户管理日志
强
● 集中认证日志
劳 心
服务增加、删除、开启、关闭
安
服务异常关闭
服务器硬件异常
人
日志清除
强 我
审计访问对象
强
应用程序异常
时间更改、驱动更改
共 同
发
指定文件及文件夹操作
展
外部端口使用
CPU/内存/硬盘使用情况
服务和进程运行跟踪
补丁信息
……
主机系统审计—UNIX
UNIX
Leabharlann Baidu
居 利 思 义
身
开关机
劳 心
系统认证信息
安
口令猜测
展
居 利 思 义
身 劳 心 安
产品体系结构
人 强 我 强
共 同 发 展
产品结构说明
► 数据接口层
● 数据接口层实现审计数据的采集及标准化,同时还可以完成与
其它日志系统的日志传输及结核。
居 利
► 核心业务层
思 义
● 实现数据的综合分析和关联分析,生成各种审计报表。还提供 日志的维护管理,和用户的维护管理。