网络空间安全重点规划丛书日志审计与分析/杨东晓等 本书特色
本书共分为7章,分别介绍了日志、日志审计和日志收集与分析系统的相关基础知识,日志收集阶段的对象和方式,日志存储阶段的存储策略和方法,事件过滤和归一化使用的方法及效果,关联分析中的实时关联分析、事件关联分析、告警响应分析和实时统计分析,查询与报表等日志的处理方式,*后结合具体案例对背景需求和解决方案进行了讨论和解读,帮助读者更好地掌握日志审计与分析。
本书每章后均附有思考题总结本章知识点,以便为读者进一步阅读提供思路。
本书由360企业安全集团针对高校网络空间安全专业的教学规划组织编写,既适合作为网络空间安全、信息安全等相关专业的教材,也适合负责网络安全运维的网络管理人员和对网络空间安全感兴趣的读者作为基础读物。
网络空间安全重点规划丛书日志审计与分析/杨东晓等 内容简介
本书共分为7章,分别介绍了日志、日志审计和日志收集与分析系统的相关基础知识,日志收集阶段的对象和方式,日志存储阶段的存储策略和方法,事件过滤和归一化使用的方法及效果,关联分析中的实时关联分析、事件关联分析、告警响应分析和实时统计分析,查询与报表等日志的处理方式,很后结合具体案例对背景需求和解决方案进行了讨论和解读,帮助读者更好地掌握日志审计与分析。
本书每章后均附有思考题总结本章知识点,以便为读者进一步阅读提供思路。
本书由360企业安全集团针对高校网络空间安全专业的教学规划组织编写,既适合作为网络空间安全、信息安全等相关专业的教材,也适合负责网络安全运维的网络管理人员和对网络空间安全感兴趣的读者作为基础读物。
网络空间安全重点规划丛书日志审计与分析/杨东晓等 目录
目录
第1章日志基本知识1
1.1日志概述1
1.1.1日志设备产生的原因1
1.1.2日志管理设备的定义2
1.1.3日志的作用3
1.2日志审计5
1.2.1信息系统审计概念5
1.2.2日志审计概念7
1.2.3日志审计法律法规9
1.2.4日志审计面临挑战11
1.3日志收集与分析系统11
1.3.1日志收集与分析系统介绍11
1.3.2系统功能13
1.3.3日志旁路部署17
1.3.4日志全生命周期管理17
1.3.5合规性要求19
思考题21
第2章日志收集22
2.1概述22
2.2收集对象22
2.2.1操作系统22
2.2.2网络设备25
2.2.3安全设备26
2.2.4应用系统27
2.2.5数据库27
2.3收集方式29
2.3.1Syslog29
2.3.2SNMP Trap30日志审计与分析目录2.3.3JDBC/ODBC32
2.3.4FTP37
2.3.5文本38
2.3.6Web Service39
2.3.7第三方系统39
2.4日志收集器39
思考题41
第3章事件归一化42
3.1事件过滤42
3.1.1事件过滤介绍42
3.1.2事件过滤使用的方法43
3.2归一化的原因46
3.3归一化的方法及效果47
3.3.1归一化的方法47
3.3.2归一化的效果54
思考题56
第4章日志存储57
4.1概述57
4.2日志存储策略57
4.2.1日志存储格式57
4.2.2关系数据库存储策略58
4.2.3键值数据库存储策略60
4.2.4Hadoop分布式存储策略63
4.3存储方式66
4.3.1在线存储66
4.3.2近线存储68
4.3.3离线存储70
4.3.4日志存储的实际应用72
思考题73
第5章关联分析74
5.1概述74
5.2实时关联分析75
5.3事件关联方式76
5.3.1递归关联76
5.3.2统计关联77
5.3.3时序关联79
5.3.4跨设备事件关联80
5.4告警响应80
5.4.1告警响应介绍80
5.4.2告警方式81
5.4.3响应方式82
5.4.4告警查询85
5.5实时统计分析86
5.5.1事件全球定位系统86
5.5.2动态雷达图86
5.5.3事件行为分析87
5.5.4主动事件图88
思考题89
第6章查询与报表90
6.1概述90
6.2事件查询90
6.2.1普通条件查询90
6.2.2模糊查询91
6.2.3查询场景92
6.2.4查询任务93
6.3日志报表的分类93
6.3.1报表概述93
6.3.2预定义报表93
6.3.3自定义审计报表94
6.3.4中间表98
思考题100
第7章典型案例101
7.1高校日志审计解决方案101
7.1.1背景及需求101
7.1.2解决方案及分析102
7.2金融行业日志审计解决方案104
7.2.1背景及需求104
7.2.2解决方案及分析106
7.3航空公司日志审计解决方案109
7.3.1背景及需求109
7.3.2解决方案及分析110
7.4政府日志审计解决方案112
7.4.1背景及需求112
7.4.2解决方案及分析113
7.5日志的高级应用: 如何通过日志溯源114
7.5.1某企业的撞库事件分析114
7.5.2某企业短信平台事件分析116
思考题117
附录A英文缩略语118
参考文献121