日誌收集與分析系統-奇安信

產品介紹

奇安信新一代日誌收集與分析系統（NGLAS），採用大數據技術和智能分析方法，集日誌採集與存儲、日誌歸一化、交互式分析、關聯分析、儀表板、報表統計、告警管理等功能於一身，實現政企客户網絡中的網絡設備、安全設備、操作系統、虛擬化及雲、數據庫、中間件及應用系統等的日誌、警報信息的全面採集、存儲、分析和展示，全面滿足各個行業及組織對日誌的安全合規管理要求和審計分析需求。

核心功能

1)資產管理：

對IT資產進行分組管理，對資產信息進行增刪改查，具備豐富的屬性管理功能，為日誌分析提供豐富的上下文信息。

2)日誌採集：

全面採集各類日誌，支持Syslog、SNMP Trap、JDBC、SFTP/FTP、SMB、API、Kafka、文件讀取、日誌代理方式採集。

3)數據治理：

系統提供強大的數據治理功能，主要包括動態數據建模和數據質量管理，保證日誌分析的準確有效性。

4)事件分析：

用户可以通過界面實時查看來自網絡中各種IT資源的日誌情況。系統內置了大量的分析場景，用户無需學習，即可開展審計操作，也允許用户自定義場景，並對場景進行樹型結構的分類和歸檔。為用户提供卓越的交互式分析能力，支持機器學習、統計分析、可視化分析等多種分析方法。

5)儀表板：

系統提供了靈活自定義的儀表板，同時內置豐富的儀表板主題，通過儀表板，不同角色和不同用户可快速獲取到各自所關注的安全信息，滿足各自管理需求。

6)關聯分析：

系統內置大量關聯分析場景，如認證登錄、授權行為、違規行為、系統變更、攻擊入侵、敏感操作和設備故障等，通過啓用這些內置場景，可實時發現網絡攻擊和違規行為。通過關聯分析引擎，用户可以靈活定製關聯規則。

7)告警管理：

系統對於發現的安全事件可以進行自動告警，並提供多種響應方式。可對告警進行統計查詢和歸併抑制。

8)報表管理：

系統提供豐富的報表管理功能，預定義了多種設備事件趨勢以及總體報表，滿足等保等其他合規性要求。系統提供自定義報表，用户可根據自身需要進行定製。

9)日誌備份與恢復：

系統支持按照日誌存儲週期進行定期備份，並支持在線恢復。外部存儲空間備份為日誌數據提供高可靠保障。

產品特點

大數據，秒級完成10TB級的日誌數據的搜索

NGLAS基於大數據技術，和高效的算法，使搜索儘可能在內存中完成，同時採用分佈式並行技術，大幅提升日誌數據存儲和查詢效率低下的問題，秒級完成10TB級的日誌數據的搜索，使人工的日誌搜索、調查和取證變為可行。

可視化，快速而美觀地展現日誌處理的結果

NGLAS採用了多種可視化技術，實時展現日誌處理結果，將安全管理和運維人員從繁重的事件查看工作中解脱出來，從而發現安全威脅。

智能化，日誌綜合審計更準確、更高效

隨着大數據和機器學習技術的不斷髮展，NGLAS引入了更多智能化的分析方法。首先，NGLAS對數據進行智能化處理，保證了高質量的輸入數據，為後續分析打下良好的基礎。其次，NGLAS採用了機器學習的方法對海量日誌進行分析，基於關聯分析引擎並結合威脅情報上下文，實時發現網絡中的安全風險。多種智能化分析方法的有機結合可以進行互相補充、實現了實時、歷史、交互式、自動化的日誌分析，綜合審計更準確、更高效。

分佈式，打破單節點計算資源限制

NGLAS獨創性的提供了分佈式關聯分析的能力，將海量日誌的處理分散到集羣的計算節點中，並且過彈性擴展計算節點數量來增加關聯分析的能力，解決了超大規模網絡客户日誌關聯分析的需求。配合分佈式分析和存儲，系統提供了分佈式的採集器，實現了集羣部署和資源調度的自動化、智能化。

高彈性，滿足彈性部署和資源擴展要求

NGLAS具備靈活的高彈性部署能力，避免了採用開源大數據技術的重量級資源需求。NGLAS支持水平彈性擴展，通過增減集羣節點來實現計算資源的增減。系統最資源的佔用靈活，既可以部署在物理服務器中，也可以部署在虛擬機和Docker容器中；既支持傳統x86架構平台部署，也支持非x86架構國產化平台部署，滿足不同客户的需求。

開箱即用，大幅降低使用成本

NGLAS大幅提升了系統的開箱即用的能力，大幅降低了日誌審計的使用成本和技術要求。NGLAS內置了一系列豐富的日誌解析策略、儀表板策略、查詢策略、關聯分析規則和報表為客户提供了豐富多樣的審計場景和安全分析場景，降低了客户對於產品交付和策略研發等方面的成本，使其快速獲得使用價值。

適用場景

場景一：合規審計

系統滿足網絡安全法、等保2.0、分級保護、金融行業監管條例、82號令以及國能安全36號文件等合規性要求，為用户開展合規性建設工作提供技術支撐。通過系統內置的合規性分析策略用户可以對全網的安全事件進行全方位、多視角、細粒度的實時監測、分析、調查、追溯，動態瞭解系統的整體合規狀況和安全態勢，通過部署奇安信新一代日誌收集與分析系統（NGLAS）滿足合規性審計要求。

場景二：安全策略審計

針對政企行業客户的明確的安全技術策略規範要求，通過部署奇安信新一代日誌收集與分析系統（NGLAS），可以將採集的日誌進行綜合關聯分析，與具體的安全策略要求進行匹配，可實時檢測發現違反安全策略的安全事件，進行報警並進行記錄，並提供了完整的證據供追溯，從而代替了繁瑣的人工審計過程。

場景三：攻擊與威脅檢測

針對當前複雜的安全威脅和攻擊，如何有效檢測始終是安全管理人員的尋求的重要目標。奇安信新一代日誌收集與分析系統（NGLAS）可以通過集中收集的日誌發現來自組織內部和外部的多種安全攻擊和威脅事件，並關聯分析判斷攻擊是否成功以及造成的影響。針對多種安全場景，奇安信新一代日誌收集與分析系統（NGLAS）可以通過對日誌的集中關聯分析實時發現網絡中的多種威脅和攻擊行為。

場景四：IT運維與故障排查

奇安信新一代日誌收集與分析系統（NGLAS）可以幫助用户消除各種妨礙運營的合規性約束，它可以為開發人員及應用系統管理員集中提供所有必須的日誌文件以方便分析和排查生產故障，而不需要尋求特定的服務器管理員發送的相應數據資料。因此可以以更少的人力快速解決問題，同時不需要訪問生產服務器，這樣不但不影響生產運營，而且還能滿足組織的對服務器的訪問的安全合規審計。

場景五：業務統計分析

奇安信新一代日誌收集與分析系統（NGLAS）可以幫助企業客户收集和分析業務系統的日誌並進行相應的統計分析，助力業務數據分析，挖掘商業價值。

部署方式

支持多種部署方式：單節點部署、級聯部署、分佈式部署、分佈式集羣部署等。

單節點部署

級聯部署