新的数据采集层支持对各类安全对象的标准接口协议的适配。实现对包括安全对象的配置、运 行状态、安全事件、脆弱性等数据的采集。数据采集层应支持主流采集协议或接口方式,包括但不限于:
Syslog:采集Unix,支持Syslog协议的防火墙、路由器、交换机、防病毒和IDS等系统或设备;
SNMP、SNMPTrap V1、V2、V3:采集支持Snmp协议的防火墙、路由器、交换机、防病毒、终端补丁、IDS和应用系统等系统或设备;
OPSEC:采集CheckPoint防火墙的日志;
ODBC/JDBC:采集存储到于关系型数据库的应用系统日志;
通用文件:支持基于文件的日志采集,能够通过模板配置完成日志记录的格式化;
专用日志采集接口:对仅支持专用管理接口的系统,能够支持多种专用API采集接口和通用的采集调度能力,例如脆弱性扫描系统的API或接口XML文件、Windows的WMI;
2. 原始事件格式标准化:
安全事件采集过程收集到多种类型的原始事件信息,而这些原始事件的格式和内容不尽相同。攻关团队开发了一套基于数据格式和数据映射脚本的数据标准方法和过程。数据格式化脚本,用于按照需要对数据进行灵活的拆分、组装,实现数据格式化。数据映射脚本,用于将格式后的数据进 行语义表达,实现数据映射。最终实现数据归一化。与传统的基于插件的数据标准方法相比,具有开发、维护难度小,快速灵活适应客户化等特点。
事件标准化过程将不同的事件数据格式转换成标准的事件格式并对其分类与存储,能够为上层各分析模块提供数据支持。
经标准化处理后的各事件包括以下属性:
以上是安全事件属性的基本内容,其他属性可以作为对安全事件描述的辅助属性。
安全事件的属性是可以扩展订制的,扩展属生与基本属性都可以参与事件的标准化、逻辑判断、条件查询、报表输出等。
3. 原始事件过滤标准化。
为了从海量的事件中进行有针对性的分析,攻关团队优化了安管平台的事件有过滤功能。事件过滤功能可以对接入的已经标准化的安全事件进行进一步过滤筛选。安全事件过滤规则包含以下属性:
过滤规则名称:对过滤规则的描述;
过滤条件:设定安全事件应该满足的条件;
响应方式:对满足条件的安全事件的处理方式;
下面对安全事件过滤中的过滤条件、响应方式、以及安全事件调整进行统一要求。
A. 过滤条件
安全事件的过滤条件,根据标准化的安全事件的基本属性,过滤条件至少可以按照以下属性进行过滤:
