日志审计设备
日志审计是什么?请从名词解释、功能作用、合规性、部署位置、系统架构(由哪些组件组成,各有什么用途)、有哪些授权
日志审计系统是用于全面收集企业IT系统中常见的安全设备,网络设备,服务器,应用数据库,服务系统,操作系统等IT资产所产生的日志并储存,监控,审计,分析,报警,响应和报告的系统;通常日志存放6个月的时间;日志审计主要负责对日志的收集汇总与分析,实攻击链的还原与追溯,可将原始数据范式化为条目清晰的可读日志;符合等级保护安全区域边界安全审计,安全计算环境安全审计,安全管理中心集中管控等要求;常见的部署位置为网络可达即可,常见旁路部署在运维管理区,服务器区,DMZ区;由日志系统本身和客户端组成,日志系统本身负责日志收集,分析,范式化处理,客户端部署在Windows操作系统上,负责将Windows操作系统日志转化成Syslog协议发送给日志审计设备;常见的授权有硬件维保授权,资源数量授权(一台服务器需要收集windows日志,Tomcat日志,则计算2个资源),额外增值分析模块授权
日志审计部署流程
- 日志审计平台修改IP
- 校准系统时间
- 旁路部署接入实际网络
- 日志源资产设备配置syslog协议发送日志到日志审计平台
- 日志审计平台发现资产并添加资产
- 日志审计平台上查询已添加的日志源资产并在事件查询中能查到其日志,说明接入成功
数据库审计系统
数据库审计是什么?请从名词解释、功能作用、合规性、部署位置、系统架构(由哪些组件组成,各有什么用途)、有哪些授权
数据库审计系统:实时记录对数据库的操作行为(SQL语句)的系统;通常数据库审计用来解决数据安全的需求,实时记录对数据的操作,事中攻击,违规检测,事后异常行为分析,审计取证追溯;常见的部署位置为网络可达即可,常见旁路部署在运维管理区,服务器区,DMZ区;数据库审计由两部分组成,数据库审计本身与客户端组成,客户端与数据库审计设备之间网络可达即可,部署在具有数据库的操作系统上,实时复制网卡流量,将复制的流量发送给数据库审计设备;常见的授权有硬件维保授权,业务口授权,数据库类型授权(若一个数据库存在两个实例,则计算2个资源授权),数据库漏洞扫描授权。
数据库审计工作原理
主要通过旁路监控并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作、恶意攻击事件信息记入审计数据库中以便日后进行查询、分析,实现对目标数据库系统操作的监控和审计
部署方式
- 网络配置
- License导入
- 时间配置
- 流量接入
- 资产配置
- 规则挂载
- 外发告警配置
