-
-
海量繁杂-日志无法有效管理
日志来源不仅包括安全设备及各个系统,还包括各类传感器和移动客户端,每天产生巨大的日志量,且不同的日志格式纷繁复杂,无法进行统一管理。
-
-
信息孤岛-日志无法关联
各个设备独立分散、各自为政,日志无法进行关联以找到其中的关联共性。
-
-
大量误报-关键告警淹没
从各个设备上接收到的告警日志多种多样,其中不乏大量误报,致使关键告警被淹没。
-
-
多种界面-高成本低效率
排查安全事件时,需要登录一台台设备进行日志的查看与排错,多个界面的操作使得排查效率低,成本高,难以发现真正的安全威胁。
-
-
全面日志采集
14年项目实践,支持250+品牌,5000+种日志类型:全面支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP、TCP、KAFKA、SMB协议的日志收集;支持阿里云SLS日志的采集;支持使用代理(Agent)方式提取日志收集。可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。
-
-
大规模安全存储
内置T级别存储设备,可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制,十分合适等保、密保等行业的应用要求。
-
-
智能关联分析
实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。
-
-
脆弱性管理
能够收集和管理来自各种Web漏洞扫描、主机漏洞扫描、网络漏洞扫描工具产生的扫描结果,并实时和用户资产收到的攻击危险进行风险三维关联分析。
-
-
可视化展示
实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索及平台的管理。通过各种事件的归一化处理,实现高效能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。
-
-
分布式部署和管理
系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。
-
-
灵活的可拓展性
提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。
-
-
其他功能
支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。
-
-
全面的智能收集功能
不断的连接检查和完整性检查以及可自定义的缓存功能,可确保平台接收到所有数据,并对传输链的各个环节进行监控,可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志,强大的数据压缩功能可节省昂贵的带宽。
-
-
-
标准化日志
各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志 (弱点、漏洞)、各种状态监控日志(可用性、性能、状态)、安全视角的事件描述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。
-
-
-
创新的日志解析能力
系统采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,内置正则、JSON、Grok、分隔符等丰富化的解析规则。创造性地融入思维导图模式,将解析规则图形化,支持拖动排序的形式编辑规则,所见即所得。此外,为保证用户更好地掌握解析性能运行的健康度,系统支持实时展示解析耗时、成功次数和失败次数等信息,性能展现一目了然。同样,用户可批量禁用末使用到的解析规则,释放珍贵的CPU资源,提升解析效率。
-
-
-
先进的关联算法
标准化之上的关联规则,适应性强,实时的内存关联功能可确保获得高性能的处理能力,可定制性强,几乎可根据通用事件的任何字段进行关联,直观的规则语法,可以让用户根据自己情况进行灵活定制,内置重要的关联规则库,可以即装即用。
-
-
-
先进的数据挖掘功能
采取无训练集合的自动购物篮分析算法,从T级别历史日志数据中有效发现行为规律。
-
-
-
可维护性及可护展性
系统具有对自身的维护配置功能,如:系统参数设置、系统日志管理等。硬件系统采用模块结构,保证系统内存、CPU及储存容量的扩展;硬件配置的升级不会引起软件的修改和开发,每个组件都可以横向扩展,通过增加设备满足业务需求。
-