网络设备(防火墙、路由器、交换机)日志分析监控
外围网络设备(如防火墙、路由器、交换机等)是关键组件,因为它们控制进出公司网络的流量。因此,监视这些设备的活动有助于 IT 管理员解决操作问题,并保护网络免受攻击者的攻击。通过收集和分析这些设备的日志来监控这些设备是修复操作问题、发现和缓解入侵以及在发生违规时进行彻底取证分析的主要步骤。
EventLog Analyzer网络设备日志监控软件,可收集、分析、关联、搜索并安全地存储来自所有网络设备的日志。
网络设备日志监控软件
- 日志收集
- 日志分析
日志收集
EventLog Analyzer是一款具有内置功能的网络日志监控软件,可帮助管理员收集和分析来自不同类型的网络设备(如路由器,交换机,入侵检测和防御系统以及防火墙)的日志数据。
此设备支持基于代理和无代理的日志收集选项。此外,该工具还具有自动设备检测功能,允许扫描和发现网络中的网络设备,并添加它们以进行日志监控。还可以使用自定义日志解析器为自定义日志定义正则表达式模式。
日志分析
EventLog Analyzer分析网络设备的日志,并以实时仪表板和报告的形式提供可操作的见解,凭借其分析仪表板和报告,可以帮助管理员:
- 防火墙监控:深入了解防火墙登录活动、策略修改和规则修改。为思科、SonicWall、PaloAlto、瞻博网络防火墙等提供开箱即用的日志分析支持。
- 路由器监控:了解详细信息,例如谁在什么时间和从哪里登录到路由器、配置更改、允许和拒绝的连接、错误等。
- IDS/IPS 监控:了解安全威胁,根据用户和来源对其进行分类,以发现恶意用户和受感染的计算机。详细了解已阻止、检测到和允许的攻击。
除了这些内置的安全分析小部件外,还允许创建自定义报告和仪表板,以满足内部安全要求。管理员可以自定义分析功能,以提供特定报告,可以选择网络中要为其生成报告的所需设备和设备组以及需要生成的报告组。这些自定义报告将满足组织中的内部审核,并更精细地跟踪感兴趣的关键事件。
路由器日志分析
路由器是任何计算机网络的构建块,引导网络中的流量。管理员需要确保路由器已配置并正常工作,以确保网络安全。
来自路由器的系统日志数据包含有价值的信息,清楚地了解网络中的活动。路由器系统日志审核具有多种应用,例如监控员工的互联网活动、协助取证调查和路由器攻击检测。但是监控路由器活动可能具有挑战性,因为每天都有大量的网络流量通过它们,大多数事件每天都会发生,因此很难识别实际威胁网络安全的异常事件。
路由器日志审核
- EventLog Analyzer 为路由器和其他网络设备提供支持,它会扫描网络并发现可以添加以进行审核的路由器和其他系统日志设备,预定义路由器日志报告可让管理员深入了解网络活动,而实时警报可让管理员立即检测可疑活动。
- 跟踪管理员登录以及这些管理员所做的路由器配置更改,路由器配置报告可确保对网络配置所做的所有更改都经过授权,并且不会在网络安全中造成任何漏洞。
- 可以跟踪链路状态以密切关注它们是打开还是关闭,还可以审核路由器错误以最大程度地减少网络停机时间。
- 路由器日志包含有关通过网络的流量的信息。因此,当出现问题时,它们和其他网络设备日志在进行取证调查中起着至关重要的作用。EventLog Analyzer使用日志搜索引擎回溯安全事件,以准确了解发生了什么。
交换机日志监控
- 切换登录报告
- 交换机配置和系统事件报告
- 交换机连接报告
- 按协议切换流量报告
切换登录报告
监控所有成功和失败的交换机登录,或使用单独的报告来跟踪每种类型的登录(例如SSH和VPN),查看哪些设备、用户和远程设备最常登录到交换机,并跟踪登录活动趋势。
交换机配置和系统事件报告
监控交换机配置更改,并确定哪些用户和设备正在进行这些更改,跟踪网络交换机上的所有上行链路和下行链路,以及链路状态的错误和更改。还可以监控交换机端口及其状态,检查哪些接口已打开或关闭,并跟踪其他硬件事件,以确保网络交换机始终处于良好工作状态。
交换机连接报告
查看网络交换机接受或拒绝的所有连接的列表,确定大多数这些连接请求来自何处,以及网络上接收这些请求的目标设备,使用连接趋势报告识别连接模式。
按协议切换流量报告
根据协议监控交换机流量,并提供单独的报告,为管理员提供有关 TCP、UDP 和 ICMP 流量的详细信息,发现哪些源向交换机发送的流量最多,或运行概述报告以查看通过网络交换机的所有流量,还可以使用单个报告监控各种与流量相关的错误,这些报告提供有关每种错误类型的详细信息。
防火墙日志分析
防火墙提供对进入组织网络的网络流量的来源和类型的可见性。这使得防火墙日志成为重要的信息源,包括所有连接的源地址、目标地址、协议和端口号等详细信息,此信息可以提供对未知安全威胁的见解,是威胁管理中的重要工具。
EventLog Analyzer 从防火墙设备收集日志并将其组织在一个位置,使安全管理员可以轻松监控防火墙日志、进行防火墙分析和检测异常。
进行防火墙监控
- 登录审核:该解决方案以分析报告的形式提供对成功和失败用户登录的见解,这些报告包括有关登录事件源、发生时间等的信息。
- 配置更改审核:分析防火墙日志数据,并提供对配置更改和配置错误的见解,该工具提供详细信息,例如谁进行了配置更改、何时进行以及从何处进行了更改。此信息不仅有助于有效审核,还有助于遵守 PCI DSS、HIPAA、FISMA 等法规要求,这些要求要求企业审核防火墙配置更改。
- 用户帐户更改审核:这些报告提供有关用户添加和删除以及用户权限级别更改的见解,从而提供用户帐户活动的可见性。
- 防火墙流量监控:提供来自允许和拒绝连接的流量信息,这些报告提供的详细信息经过分类,并根据源、目标、协议和端口以及时间戳直观地表示流量,使安全管理员能够跟踪网络流量。
EventLog Analyzer 通过事件关联提供有效的事件检测过程,借助内置关联规则,可以检测防火墙事件中的安全威胁。当发现任何可疑活动时,会向安全管理员发送即时警报,这有助于加快响应过程,在早期阶段提醒管理员注意可能的威胁,以便他们可以有效地保护组织的网络免受重大损害。