由于业务需要,在网上粗略整理了一些日志审计系统:
- 安恒明御
- 天融信网络卫士
- 网御神州SecFox-LA
- Manageengine -Event Analyzer
| 分类 | 安恒明御 | 天融信网络卫士 | 网御神州SecFox-LAS |
| 网址 | www.dbappsecurity.com.cn | www.topsec.com.cn | www.legendsec.com |
| 产品性质 | 硬件 | 硬件 | 软件/硬件 两种形式 |
| 日志收集 | 系统、网络设备、安全设备、数据库、应用系统、审计系统、软件日志、应用防火墙等 | 系统、网络设备、安全设备、数据库、应用系统等 | 系统、安全设备、安全系统、数据库以及各种应用系统的日志等 |
| 主机密码 | 不需要 | 不需要 | 不需要 |
| 收集方式 | Agent/snmp | Agent /snmp | SNMP,日志采集器(可选) |
| 日志分析 | 事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类; #关联算法 标准化之上的关联规则,适应性强;In-Memory实现,实时关联;可定制性强,几乎可根据通用事件的任何字段进行关联;基于逻辑表达式,可以进行复杂关联;时序宽容,无惧乱序 # 事件聚合 出现大量重复/类似告警,进行事件聚合;聚合后会更新事件计数,不会影响后续关联分析;减少事件数量,降低噪音干扰;可定制的聚合规则;可以根据通用事件全部字段进行聚合 | 帮助管理员对网络事件进行深度的挖掘分析,系统提供多达300多种的报表模板,支持管理员从不同角度进行网络事件的可视化分析。同时系统还支持对网络设备、主机、系统应用、多种网络服务的全面监视。 | 收集并归一化企业和组织中的所有安全日志和告警信息,然后通过智能事件关联分析引擎,帮助安全管理员实时进行日志分析,迅速识别安全事故,从而及时做出响应。1)事件全球定位系统2)主动事件图 3)事件行为分析4)动态雷达图 |
| 预警 | 没有提到 | EMAIL、铃声、手机短信 | 电子邮件、SNMP Trap,能够执行预定义命令行程序 |
| 报表 | 用户可手动定制 | 300多种的报表模板,网络事件条件统计,流量等变化趋势,多种图形表现 | 可自定义,提供PDF、HTML、Excel、CSV或RTF等格式,NetFlow数据流分析 |
| 日志管理 | 日志格式的统一管理,提供日志数据的存储、备份、恢复、 删除、导入和导出操作 | 支持对不同格式日志的分类、筛选、最大效率保存;提供日志自动导出、导入、删除、备份、恢复、转发等管理功能 | 所有日志、事件和告警信息统一存储起来,建立一个企业和组织的集中日志存储系统 |
| 日志查询 | 支持按照日志类型、日志格式、审计设备、查询界面,方便用户查询和挖掘各种关心的事件信息 | 提供多样、灵活的日志信息查询,同时支持按用户设定的条件进行不同日志的相关查询 | 审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。 |
| 部署方式 | 旁路 | 旁路 | 旁路 |
| 价格 | 未知 | 未知 | 未知 |
分析发现安恒对安恒明御这款日志审计产品中的日志分析描述的比较详细,其中包含了大量的专业术语,而其他两款产品中对日志分析的描述则是比较概括性的描述。
其中有一款Manageengine 的 Event Analyzer 业内专业人士说最符合SOX审计,而对于日志的分析处理则不是那么强大,不提供及时响应分析处理以及预警机制。依我来看客户选一个款日志审计产品不光是为 了去迎合SOX审计,其中还会注重它的实用性—-也就是他的响应能力,预警能力;而这个响应能力、预警能力则需要依靠强大的数据分析做以支撑,那么在产品 的宣传上我觉得对于这部分的描述应该更具专业性,更需要详细,而且产品的选型一般是由技术人员根据描述然后结合测试最终确定产品类型,那么这些专业术语则 不会成为问题,毕竟它是一个专业产品,应用在一个比较窄的范围。