0x00 定義:
網絡安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的 有效監督,預防、制止數據泄密。滿足用戶對互聯網行為審計備案及 安全保護措施的要求,提供完整的上網記錄,便於信息追蹤、系統安全管理和風險防范。
0x01 主要類型:
根據被審計的對象(主機、設備、網絡、數據庫、業務、終端、用戶)划分,安全審計可以分為:
1. 主機審計:審計針對主機的各種操作和行為。
2. 設備審計:對網絡設備、安全設備等各種設備的操作和行為進行審計網絡審計:對網絡中各種訪問、操作的審計,例如telnet操作、FTP 操作,等等。
3. 數據庫審計:對數據庫行為和操作、甚至操作的內容進行審計業務審計:對業務操作、行為、內容的審計。
4. 終端審計:對終端設備(PC、打印機)等的操作和行為進行審計,包括預配置審計。 5. 用戶行為審計:對企業和組織的人進行審計,包括上網行為審計、運維操作審計有的審計產品針對上述一種對象進行審計,還有的產品綜合上述多種審計對象。
(author https://www.cnblogs.com/Shepherdzhao/)
0x02 主要功能:
1、采集多種類型的日志數據
能采集各種操作系統的日志,防火牆系統日志,入侵檢測系統日志,網絡交換及路由設備的日志,各種服務和應用系統日志。
2、日志管理
多種日志格式的統一管理。自動將其收集到的各種日志格式轉換為統一的日志格式,便於對各種復雜日志信息的統一管理與處理。
3、日志查詢
支持以多種方式查詢網絡中的日志記錄信息,以報表的形式顯示。
4、入侵檢測
使用多種內置的相關性規則,對分布在網絡中的設備產生的日志及報警信息進行相關性分析,從而檢測出單個系統難以發現的安全事件。
5、自動生成安全分析報告
根據日志數據庫記錄的日志數據,分析網絡或系統的安全性,並輸出安全性分析報告。報告的輸出可以根據預先定義的條件自動地產生、提交給管理員。
6、網絡狀態實時監視
可以監視運行有代理的特定設備的狀態、網絡設備、日志內容、網絡行為等情況。
7、事件響應機制
當審計系統檢測到安全事件時候,可以采用相關的響應方式報警。
8、集中管理
審計系統通過提供一個統一的集中管理平台,實現對日志代理、安全審計中心、日志數據庫的集中管理。
0x03 使用方式:
安全審計產品在網絡中的部署方式主要為旁路部署。