本帖最后由 你不是四月 于 2023-5-18 09:42 编辑
日志审计-主要功能对比(深信服&奇安信)
一、奇安信
1、优势:在奇安信的日志审计中,其更加注重于事件的分类及分析,由首页所趋向的显示点我们可以看出,在奇安信的LAS下,事件分析和智能分析为重点分析项,我们可以在事件分析及智能分析下,对重点所划分的日志类型,进行过滤和判研。
(下图为按照奇安信内部所定义事件等级进行划分事件所属属性)
2、告警:在告警界面下,也更倾向于对日志等级进行告警,可以更清晰明了的发现当前所收集日志的告警情况。
3、系统诊断:在系统诊断中,奇安信诊断更加全面,也更加贴合日志审计的实用需求,在系统诊断中会着重偏向当前内存使用情况、CPU、磁盘使用情况,来确保日志审计所存储日志满足法律法规要求(我们知道,为满足等保需求,日志审计设备通常需要满足180天,在磁盘空间不足的情况下,通常日志审计设备在磁盘达到一定限额时,会自动覆盖最早一天的日志,那么如何分析当前设备是否能够存放180天就是需要重点考虑的部分)
3、基本的安全策略优势
二、深信服日志审计服务器
1、优势:深信服日志审计服务器WEB页面布局更加简洁明了
2、知识库:相较于奇安信的事件分析,深信服知识库更倾向于一个手册,去自我学习(个人认为,日志审计应更加倾向于事件分析,关键字段过滤)
3、策略管理:主要为可自定义策略,进行触发告警事件之处,通过自定义策略可以达到有相应事件触发后,会产生对应事件所对应的告警事件。但此处的告警更倾向于常规事件,如用户的增删、登录失败等,事件种类偏少。
4、报表管理:此处更多为到处日志事件,不过多赘述
5、等堡类基础安全功能策略:常见的源IP限制,登录超时处理等常规安全项均支持
三、小结:通过此次深信服&奇安信日志审计功能对比,奇安信和深信服的日志审计都是两款不错的产品,但在功能侧重点上有所不同,奇安信侧事件分析种类更多,库种类更加丰富,更适合后续运维人员的使用,深信服界面更加简洁,也更偏向于日志收集,但对高危等事件的侧重偏小,后续期待两家都可以不断完善日志审计的主要功能项,作为一款等保类安全产品,对日志事件的分析、日志告警种类的多样性以及当前日志所存储空间是否满足180天的要求,都期望可以在后续的版本不断完善。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级 
