DCSSA 日志审计系统

详细指标

支持集中和分布式部署、集群部署、热扩容

系统满足设备的信息采集要求，主要包含各类主机、安全设备、网络设备、数据库、中间件等主流设备

可以添加、修改、删除资产；对资产的基本属性进行维护；资产可以增加自定义属性

资产支持组织管理、网络管理

系统支持对IP对象的自动发现功能；对自动发现的设备可以转资产或删除

支持Syslog、Syslog-ng 、SNMP Trap、文件、WMI、SFTP、数据库 等方式采集日志

被采设备无需安装任何代理

日志采集器可实时或按设定的时间将的日志送到审计中心

日志采集器在将日志送往审计中心的时候，可以制定传送策略，仅传送符合条件的日志

支持多个日志采集器

对日志格式进行标准化操作时，将不破坏原始日志内容

标准化自动识别系统类型至少达到150种

系统从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段，日志清洗后的标准化字段粒度至少达到90个字段

对安全事件重新定级。能根据统一的安全策略，按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义

系统的标准化策略具备良好的可扩展性，可通过配置文件或界面实现管理功能

支持不同设备相同IP的日志识别

可以*收集采集对象上的日志信息，也支持在安全事件收集引擎上设置过滤条件，可过滤出无关安全事件，满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数，从而减少对网络带宽和数据库存储空间地占用

系统具有归并技术，安全事件收集代理会在一段时间内比较收到的安全事件，如果安全事件相同，则只需发送一条安全事件，该安全事件应包括安全事件详情及该安全事件发生的次数，这样可以减少安全事件通信量

支持根据设备类型，按日期展示日志的接入情况，包含不同级别日志数量统计

挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，系统提供了GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计的

支持基于异常统计模型的检查分析功能，如：识别异常的流量攻击等

若日志满足系统内置或用户定义的关联策略，将产生关联事件

支持显示审计事件分类统计列表，根据审计策略名称、审计事件类型、被审计人员、目标设备地址四个维度展现

支持以列表的方式展示告警、告警声音设置、告警过滤策略；支持系统支持通过 GUI 设置告警策略； 系统内置丰富关联/审计类告警策略，并灵活支持自定义策略。

支持根据的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果及告警内容；日志员只负责完成对系统本身的用户操作日志管理