1.1.1 功能要求
数据采集架构
安全数据采集系统可以与安全信息分析系统分开独立安装部署,要求采集集群采用Master/Slaver的分布式框架,Master节点负责给Slaver节点下达指令;Slaver是实际采集工作节点,采集集群由多个Slaver组成。
数据源采集范围
采集(但不限于)以下设备的日志数据:
(1)网络设备日志:交换机、路由器等;
(2)安全设备日志:安全保卫设备、应用和数据安全监测设备、网络沙箱、安全检查和评估设备、入侵检测、防病毒、数据防泄漏、认证系统、区域版终端安全防护系统等;
(3)中间件日志:WebSphere、WebLogic、Tomcat、IIS等;
(4)操作系统日志:Windows、Linux、Unix等;
(5)应用系统日志。
数据采集格式
采集项目范围内所有安全类日志。对于半结构化和非结构化日志支持txt、xml等文本文件的内容处理。
数据采集方式
提供SYSLOG、SNMP、Netflow、Agent、文件、目录、数据库JDBC等类型的数据采集接口;
具备实时数据采集能力;
具备跨网络环境数据采集能力。
日志解析及数据格式标准化
可以将日志内容解析成不同的字段并命名,以便索引与查询。包括以下解析方式:
(1)标点符号拆分,根据指定的标点符号或系统自定的标点符号列表,提取标点号之间的内容作为命名字段的值。
(2)正则拆分,根据正则表达式匹配提取内容,并可配置命名。
(3)时间戳识别,日志是时间序列数据,所有数据均含有时间戳,要求对标准格式能够自动识别,对非标准时间戳要支持手动设置格式识别。
日志标准化是从原始日志信息中解析出各个不同的日志属性信息,将原始日志转换为统一的标准化的日志,为后续分析处理提供统一的标准化日志结构。
数据增强
可以对数据解析得到的数据进行数据来源、资产信息、数据种类、地理位置信息、监测时间等数据进行标记。通过数据增强,区分不同平台不同种类的数据和数据之间的关联关系。
数据采集安全性保障
数据采集器采用两级缓存技术,保障数据采集器在接收到数据后,此环节不会出现丢日志情况。
采集器管理
数据采集模块必须为自主研发,功能、性能及稳定性自主可控,可以监控工作节点的运行状态,并可以对工作节点进行集中配置、启动及停止等操作。
1.1.2 技术要求
1、定制化安全数据采集系统;采集数据量和采集节点可以覆盖本项目建设范围;实现用户应用场景内所有网络安全设备、主机、应用系统和虚拟化系统的日志采集;
2、提供默认解析策略,提供可视化的自定义解析策略配置;提供对采集的日志提供智能标记补全功能,要求能够对收集的日志补全其相关联的属性,达到入库的数据丰富化的目的。补全字段包括但不限于源或目的IP的对应国家、省份、城市信息,经纬度信息,源或目的IP对应的资产、资产类型、业务系统、安全域、所属组织机构等信息;
3、要求日志解析实现可视化配置界面,能够根据日志解析需求灵活增加或删除字段属性;要求日志解析功能支持将日志解析成规整字段,以便索引与查询;要求日志解析实现标点符号拆分、正则拆分、标准格式自动拆分、时间戳识别等解析方式;要求日志解析实现建立解析字段和字段属性的映射关系,并支持可视化的配置界面;要求日志解析实现解析字段转义,应能够将映射后的属性的值按照不同的映射类型转义成不同的内容,并支持可视化的配置界面;
4、要求将解析后的字段和事件进行关联,事件分类包括但不限于认证授权、网络访问、信息危害、攻击入侵、信息刺探、安全预警、信息监控、操作记录、恶意代码、设备故障、系统状态、网络流等多种分类,同时支持配置自定义事件分类,支持可视化操作;