核心功能介绍

  平台支持展现经过规则判断后分析出的事件。事件展现已经过滤掉包括重复、无用的事件信息。展现维度包括按时间展现和列表方式,同时支持事件相关属性进行关联查询。
  威胁时间分析支持显示按照事件类型显示事件数量,快速筛选相关事件并将同类型事件进行归拢并统计时间频率,对重要事件支持把高风险事件列入问题,持续跟踪并记录至知识库。
  平台支持对各设备的登录行为进行审计分析,对设备登录建立安全路径,对非法IP地址登录、非法时间等行为进行安全检测。平台采用从系统日志中获取登录行为的方式,能够有效检测出绕开堡垒机从内部跳转的登录行为,有效保障设备的访问路径安全
  平台支持对文件操作行为进行审计分析,支持按照设备IP、文件名、文件操作等设置文件操作安全路径,支持对可疑文件操作进行检测和告警,对业务文件非法访问、非法拷贝、非法破坏等非法操作实现实时告警
  平台支持对账户操作安全审计功能,对新建账户、删除账户等进行实时审计
  平台支持对Linux操作系统命令进行实时采集和审计,支持对命令规则的自定义配置。实现对Linux操作命令的有效记录和安全审计,发现问题及时预警
  平台支持根据用户的场景和条件,添加自定义规则,以对系统内置规则进行扩充
  平台支持快速全文检索,提供简单易用并且快速的方法进行检索,提供快速检索功能主机名、主机IP、日志名、关键字等特定条件外,还支持通配符、与或非逻辑判断、正则表达式等多种检索方式进行组合查询。查询结果支持归拢合并,提供可视化视图,有效帮助提高运维效率。
  日志分析平台内包括了全文检索、登录行为查询、文件操作查询、进程操作查询、历史命令查询、Sql执行查询、Sql执行会话查询等多个功能模块,清晰展现用户历史操作详情