应用安全审计中心(SAC)由多个部分构成,通用配置为:安全审计中心、日志采集器和分布式数据存储索引节点3个部件。
安全审计中心是系统的核心部件,实现了对日志的集中化存储、索引、备份、搜索、审计、告警、响应。安全审计中心汇聚来自日志采集器、多源异构信息,内部做数据加工、处理、分析工作。安全审计中心可以对网络中分散的分布式存储索引节点进行集中管理。
日志采集器组件(Agent)可以安装并独立运行在应用服务器上,实现对异构管理对象的日志采集。
分布式存储索引节点用于日志处理规模大及高可靠数据存储的需求场景。分布式存储索引节点可支持弹性扩展,节点数量灵活方便,可根据数据规模灵活增减,并提供数据冗余存储,可根据数据可靠性需求,在不同的节点保存数据的多份备份,配置灵活简单。分布式存储索引节点安装并运行在独立的服务器上,实现安全事件的分布式存储、索引和分析。
日志采集:系统支持对包括网络设备、安全设备与系统、主机、中间件、数据库、存储、应用和服务在内的多种审计数据源的日志采集
日志范式化、丰富化:对不同日志格式进行统一描述和丰富,并进行日志分类,增加日志类型
日志过滤:对采集到的日志进行基于规则的过滤处理,去掉无意义的日志
日志集成:对采集到的日志进行基于规则的集成处理,建立日志间的关联关系
日志源管理:统计不同采集器和不同安全域下的接入的日志源信息并以图形化方式进行展示
日志采集器:提供可另外部署的日志采集器,每个采集器都能对日志进行采集、范式化、过滤和归并,实现分布式日志采集
日志全文检索:系统提供输入关键字从海量事件中获取匹配或部分匹配的事件
安全事件统计分析:根据内置或者自定义的统计策略,从事件的多个维度实时进行安全事件统计分析
日志查询:基于各种条件进行组合查询,并可导出查询结果
支持日志的实时关联分析、历史关联分析,日志的分布式存储
1、身份账号安全场景
非活跃账号检查功能:排除系统内僵尸账号,临时账号的存在,便于管理人员及时掌握账号状态。
异常频率注销账号功能:分析管理员关键操作频率,发现出现内部管理问题,或恶意行为。
2、认证安全场景
认证同源登录功能:在同一台设备中使用多个账户认证登陆的情况,视为安全隐患,可能存在账号被盗用的情况。
账号多地登陆功能:捕获账号泄露或账号共享情况,保障账号安全。
账号暴力破解功能:防范账号泄露导致的恶意破解行为,及时更新账号策略或提升账号认证等级。
3、权限安全场景
权限频繁变更:正常运维下,应用权限是一个相对稳定的状态,当权限出现频繁的变更时可能代表内部人员正在做一些威胁操作。
我要咨询