Анализ инцидентов ИБ | UserGate Log Analyzer

Система анализа журналов и событий UserGate Log Analyzer

UserGate Log Analyzer является комплексным решением для анализа данных. Система агрегирует данные от различных устройств, осуществляет мониторинг событий и создает отчеты. Появление новых угроз и увеличение объема обрабатываемой информации предъявляет повышенные требования к скорости работы системы анализа. Решение UserGate Log Analyzer развертывается отдельно от шлюза безопасности. Разделение функций обработки трафика и анализа данных позволяет обеспечить высокую надежность и хорошую масштабируемость системы. Получаемые и обрабатываемые данные можно агрегировать с нескольких серверов. Использование отдельного сервера для анализа журналов снижает нагрузку на межсетевые экраны и позволяет обрабатывать больший объем данных.

Основные возможности

Модуль Log Analyzer осуществляет сбор и первичную обработку данных от межсетевых экранов NGFW UserGate. На основании полученных данных осуществляется глубокий анализ произошедших событий безопасности, определяются и отслеживаются подозрительные активности отдельных пользователей или хостов. При настройке UserGate администратор может указать, какие типы событий пересылаются для анализа в Log Analyzer. Опции для выбора включают журнал событий, журнал системы обнаружения вторжений, журналы трафика, событий АСУ ТП, а также события из журнала веб-доступа.

В секции подготовки отчетов располагаются готовые шаблоны отчетов и правила их обработки. В этой же секции доступны выполненные по запросу администратора отчеты.

Подготовка отчетов с использованием готовых шаблонов в UserGate Log Analyzer

UserGate Log Analyzer предлагает готовые шаблоны отчетов по следующим категориям: captive портал, системные события, система обнаружения вторжений (СОВ), сетевая активность, веб портал, трафик, веб-активность.

Используя набор отчетов по веб-активности, администратор может получить подробный список всех посещенных веб-сайтов, топ блокируемых доменов, топ пользователей по URL-категориям и по заблокированным сайтам.

В секции отчетов по трафику представлена детальная информация по трафику пользователей за день/неделю/месяц, топ приложений по пользователям, и топ стран по источнику и назначению трафика.

Сетевую активность можно отследить, проанализировав DoS события по времени суток, дням месяца и недели, по месяцам. Доступна информация по заблокированным приложениям по пользователям, топ заблокированных приложений, топ сработавших правил.

Отчеты категории СОВ предоставляют детальную информацию об атаках. Определяется топ IP-адресов источников атак, цели атакующих (IP адреса хостов), топ протоколов, используемых в атаках. Можно также получить информацию по используемым устройствам и топ сигнатур устройств. При наличии в компании captive-портала в отчетах доступна информация по авторизациям через captive-portal по времени суток, дня недели и месяца, а также суммарная информация за месяц.

Секция отчетов по событиям включает информацию об авторизации через консоль, сводный отчет действий администраторов, изменений конфигураций по компонентам и отчет о системных событиях по степени критичности.

Сформированные отчеты могут автоматически отправляться по электронной почте администратору и другим уполномоченным лицам. Отправка возможна по расписанию, в требуемое время и указанный день недели.

Использование отчетов из различных категорий позволяет выявить потенциальные угрозы на основе анализа произошедших событий. Модуль UserGate Log Analyzer позволяет сопоставить результаты отчетов с установленными параметрами, и обеспечить соответствие инфраструктуры требованиям корпоративной политики безопасности.