在使用日志审计过程中,您需要了解日志审计(原生版)系统的使用限制。
数据接入前置条件
- 数据接入前,请务必在平台资产管理模块配置好数据采集的对象,尤其是ip地址信息和设备大类和小类信息。这将影响到数据的接收和数据的处理模板;
- 被采集对象的设备与平台网络可达;
- Syslog接收端口监听正常,平台服务运行正常;
- 在解析接入规则模块能找到被采集对象的设备类型解析模板。
告警产生前置条件
- 日志数据接入正常;
- 采集接入数据能找到对应设备解析模板,正常解析出关键字段信息;
- 告警规则配置逻辑正确;
- 告警规则配置的规则匹配字段信息有值且正确。
支持的设备类型
| 设备类型 |
|---|
| 主机设备 |
| 网络设备 |
| 安全设备 |
| 应用系统 |
| 虚拟机 |
| 存储设备 |
支持主机设备型号
| 设备子类 | 设备型号 |
|---|---|
| windows系列 | Win2000、win2003、xp等 |
| unix&linux | Linux系列、solaris8、solaris9等 |
| Pc服务器 | 小型机 |
支持网络设备型号
| 设备子类 | 设备型号 |
|---|---|
| 交换机 | Extreme、Juniper、神舟数码等 |
| 交换机/思科 | 100系列、200E系列、200系列、300系列、500系列、90系列、Catalyst2918系列、Catalyst2960-CX系列等 |
| 交换机/华为 | 12800系列、16800系列、2350&5300&6300系列等 |
| 交换机/H3C | S1000系列、S10500系列等 |
| 交换机/中兴 | 1000系列、2900E系列、2950系列等 |
| 路由器 | Extreme、Juniper、神舟数码等 |
| 负载均衡设备器 | F5、信安世纪、array |
支持安全设备型号
| 设备子类 | 设备型号 |
|---|---|
| 防火墙 | 迪普防火墙、东软NetEye防火墙、H3C防火墙、Fortigatet防火墙、hillstone防火墙、Checkpoint防火墙等 |
| IDS&IPS&IDP | 启明星辰天阗IDS、安氏领信IDS、绿盟冰之眼IDS、SnortIDS、juniperIDP、启明IDS、华为IDS、网神IDS等 |
| 异常流量分析 | Arbor异常流量分析系统、NTGGenie流量分析系统或攻击溯源、绿盟异常流量分析系统NTA等 |
| 数据库审计 | imperva数据库审计系统、网御数据库审计系统、中安新云数据库审计、天融信数据加密系统、安华金和数据库审计系统等 |
| 企业网关 | NeTrust企业网关、启明星辰天清汉马UTM、联想网御UTM等 |
| 异常流量清洗 | 迪普DDOS、绿盟黑洞DDOS网关等 |
| VPN | NeTrustSSLVPN、Array VPN系统、Juniper SSL VPN、F5 SSL VPN、天融信VPN等 |
| 网页防篡改系统 | 中创InforGuard、安恒网页防篡改 |
| 网络安全操作审计系统 | UMAP堡垒机、福富4A、启明星辰网络安全审计系统等 |
| 安全扫描系统 | 安恒应用系统漏洞扫描、安恒应用系统数据库漏洞扫描、安恒操作系统漏洞扫描等 |
| 一次性口令审计 | 联创亚信一次性口令、上海众人一次性口令 |
| 其他安全设备 | logdb_ftp、logdb_db |
| 上网行为管理 | 深信服有线上网行为管理设备、黑盾无线上网行为管理设备、云讯通综合网管平台、5GSA核心网系统 |
| 深度威胁发现设备 | 亚信深度威胁设备TDA、360天眼、启明APT威胁检测、启明CS检测探针等 |
| 虚拟化安全设备 | 亚信虚拟化安全设备、朗维dlp、优炫dlp等 |
| 防病毒 | 网神防毒墙、瑞星、卡巴斯基反病毒、亚信防病毒、赛门铁克防病毒、趋势防病毒等 |
| 网闸 | 国保金泰网闸、网御星云网闸、天行网安网闸、南瑞网闸、天融信网闸等 |
| 终端安全 | 360、瑞星、金山、北信源、冠群金辰、Symantec等 |
| Anti-DDoS | 绿盟DDoS、金盾DDoS、启明星辰DDoS、天融信DDoS、华为DDoS、H3CDDoS、网神DDoS等 |
| 网络运维审计系统 | 启明星辰、齐治、谐润、福富4A等 |
| WAF | 绿盟WAF、安信华WAF、知道创宇WAF、黑盾web应用防火墙等 |
| 蜜罐 | 魅影蜜罐、君立华域蜜罐、谛听蜜罐等 |
| 僵木蠕 | 恒安嘉兴僵木蠕 |
支持应用系统设备型号
| 设备子类 | 设备型号 |
|---|---|
| web服务 | apache、jboss、tomcat、IIS、其他等 |
| web中间件 | weblogic、websphere等 |
| 数据库 | oracle、DB2、sql server、mysql、postgresql、sybase、redis、mongodb、memcache、hbase、informix、domino、达梦、elasticsearch、hadoop、hive、Teradata、Impala、gbase等 |
| FTP | VSFTP、serv_u |
| DNS | bind、牙木 |
| 防病毒 | McAfee防病毒系统、趋势防病毒系统、天融信防病毒网关、天融信防病毒等 |
| 其他 | bash、wget、curl、snmp、rsync、nfs等 |
| 网管系统 | HP OpenView NNM、IBM NetCool、CiscoWorks、网神网管系统等 |
支持虚拟机设备型号
| 设备子类 | 设备型号 |
|---|---|
| Windows系列 | Windows 2000、Windows 2003、Windows xp等 |
| Unix&linux | Linux系列、solaris8、solaris9、solaris10、AIX系列、HP-Unix系列、suse系列(9-15) |
支持存储设备型号
| 设备子类 | 设备型号 |
|---|---|
| 磁盘阵列 | / |
| 磁带库 | / |
| 存储系统 | HP、IBM、EMC、VERITA |
