泰利思諾

DatSIEM安全管理與審計系統產品概況

DatSIEM安全管理與審計系統產品概況

產品定位

泰利思諾DatSIEM安全管理與審計系統提供了眾多基于日志分析功能，如安全日志的集中采集、分析挖掘、合規審計、實時監控及安全告警等，系統配備了全球 IP 歸屬及地理位置信息數據，為安全事件的分析、溯源提供了有力支撐，系統能夠同時滿足企業實際運維分析需求及審計合規需求，是企業日常信息安全工作的重要支撐平臺。

安全管理與審計系統介紹

泰利思諾DatSIEM安全管理與審計系統能夠實時不間斷地采集匯聚企業中不同廠商不同種類的安全設備、網絡設備、主機、操作系統、用戶業務系統的日志信息，協助用戶進行安全分析及合規審計，及時、有效的發現異常安全事件及違規事件。系統提供了眾多基于日志分析的強大功能，如安全日志的集中采集、分析挖掘、合規審計、實時監控及安全告警等，系統配備了全球 IP 歸屬及地理位置信息數據，為安全事件的分析、溯源提供了有力支撐，系統能夠同時滿足企業實際運維分析需求及審計合規需求，是企業日常信息安全工作的重要支撐平臺。

產品架構

產品架構：產品采用 B/S 架構操作方式，無需安裝客戶端軟件。

工作原理

泰利思諾DatSIEM安全管理與審計系統的主要功能包括如下模塊：

采集層：采集各種設備的事件日志，標準化為統一的格式，然后進行過濾、歸并、關聯和審計，通過會話解析從海量日志中分析潛在的安全問題，同時進行相關數據的存儲和管理；
分析層：系統通過分析引擎，對日志進行關聯分析、攻擊檢測、審計分析和統計分析，并對異常事件告警策略進行管理；
展現層：綜合展現層是系統的展示層。該層通過個人工作臺和安全概覽，將整個系統收集、分析、管理的安全事件、告警概況、會話審計等信息多維度的展現在用戶面前。

產品優勢

全面的采集能力

通過 API、協議、文件、FTP、SNMP Trap 多種方式接入全平臺數據，智能

地進行數據解析并整合。系統支持 Syslog、SNMP Trap、文件、WMI、FTP、數據庫、SMB、Console（需定制開發）等方式采集。支持 200 多種設備日志解析，主流設備包括：

1) 安全設備：深信服 NGAF、啟明 WAF 防火墻、綠盟 IDS、華為防火墻、Juniper防火墻、天融信防火墻等；

2) 操作系統：Linux、Windows、Window Server、Unix 等操作系統;

3) 數據庫：Oracle、MySQL、SQL Server 等；

4) 應用系統：如 Apache、Tomcat、IIS、Weblogic 等；

5) 網絡設備：主流的路由器、交換機、負載均衡等網絡設備等，如深信服 AC、AD、Cisco、華為、Juniper 等。

6) 虛擬化平臺：VMware ESXi、KVM、Xen 等。

精準的溯源定位

系統內置全面的全球地理信息庫，準確、高效地定位威脅來源，提供用戶實時的全球攻擊溯源展現。

高效的實時分析

支持基于規則、基于統計、基于情報的分析模型。內置豐富的安全監控場景模板，例如堡壘機繞行審計、異常登錄時間審計、異常流量審計等。系統采用流式分析模式，實時分析接入的海量日志，實時挖掘潛在威脅。

強大的檢索查詢

1) 億級（TB）原始日志查詢耗時低于 1 秒；

2) 支持簡單易用的日志查詢普通模式，根據系統預置的查詢條件，根據用戶需求查詢對應的日志，并且支持查詢條件的保存，供后續快捷使用；

3) 支持更加精確的專家模式查詢，根據頁面的指導提示，通過組合查詢表達式完成精確查詢。

豐富的策略模型

經過長時間在電信、醫療、高校、政府等行業的應用，積累了豐富有效的安全策略場景模型，包含異常行為分析類、業務攻擊分析類等。

1) 異常行為分析類如登錄異常、操作異常等；

2) 業務攻擊分析類如 SQL 注入、IP 欺騙等；

3) 流量統計類如互聯網出口流量異常，周期時間內某個時間段內的流量不在正常范圍內。

豐富的合規模板

系統默認提供等級保護三級、SOX 法案的分類，提供對主機、應用、網絡安全等多個層面的報表實例。

豐富的合規模板

系統默認提供等級保護三級、SOX 法案的分類，提供對主機、應用、網絡安全等多個層面的報表實例。

靈活的部署方式

支持單機、分布式采集、集群部署。

簡便易用的界面風格

系統通過提供入門向導、個人工作臺、任務通知、快捷菜單等方式，為用戶提供了簡單易用的界面，即使是初次使用綜合日志分析系統，也完全能在較短的時間內掌握。

靈活通用的系統設計

1) 可配置的安全概覽等系統功能菜單；

2) 支持用戶自定義的事件關聯策略、審計策略；

3) 靈活的日志標準化解析腳本；

4) 具有優秀擴展性的第三方接口，如告警外發 Syslog 與第三方平臺對接。

產品價值

可發現：具備對海量安全事件的采集、分析、處理報告能力，可以實時動態展現當前安全事件態勢，實時獲知異常安全事件或審計違規告警。按需展現各類關注事件的分布狀況，可集中管理各類安全事件和安全資產，能夠智能化分析安全事件對業務系統可能產生的實際影響和危害，減輕通過人工甄別大量事件的工作難度，提高管理工作效率，降低運維工作負擔。

可處理：發現安全事件風險是為了更好更快的處理。系統具備安全告警功能，可通過技術手段將發現的安全事件告警納入到日常安全運維流程中，與第三方設備進行告警聯動，建立安全事件處理的自動化體系，提供安全問題處理的效率。

可審計：具備針對各類信息安全管理標準或要求的日志審計能力，提供針對諸如等級護要求、SOX 信息安全審計要求、企業內部下發的信息安全工作要求的審計策略，支持通過技術手段實現日志審計工作的自動執行、自動核查、自動報告功能。

可度量：針對信息安全事件日志的采集、分析、處理情況，結合信息安全資產的 IT 屬性，能夠實現對企業信息安全情況的分析和審計。系統可度量企業信息安全的安全水平，給出企業對各種審計要求的符合性程度，指導企業的信息安全管理和建設工作。