詳細指標

支持集中和分布式部署、集群部署、熱擴容

系統(tǒng)滿足設備的信息采集要求，主要包含各類主機、安全設備、網(wǎng)絡設備、數(shù)據(jù)庫、中間件等主流設備

可以添加、修改、刪除資產(chǎn)；對資產(chǎn)的基本屬性進行維護；資產(chǎn)可以增加自定義屬性

資產(chǎn)支持組織管理、網(wǎng)絡管理

系統(tǒng)支持對IP對象的自動發(fā)現(xiàn)功能；對自動發(fā)現(xiàn)的設備可以轉(zhuǎn)資產(chǎn)或刪除

支持Syslog、Syslog-ng 、SNMP Trap、文件、WMI、SFTP、數(shù)據(jù)庫 等方式采集日志

被采設備無需安裝任何代理

日志采集器可實時或按設定的時間將的日志送到審計中心

日志采集器在將日志送往審計中心的時候，可以制定傳送策略，僅傳送符合條件的日志

支持多個日志采集器

對日志格式進行標準化操作時，將不破壞原始日志內(nèi)容

標準化自動識別系統(tǒng)類型至少達到150種

系統(tǒng)從不同設備或系統(tǒng)中所獲得的各類日志、事件中抽取相關片段準確和完整地映射至安全事件的標準字段，日志清洗后的標準化字段粒度至少達到90個字段

對安全事件重新定級。能根據(jù)統(tǒng)一的安全策略，按照安全設備識別名、事件類別、事件級別等所有可能的條件及各種條件的組合對事件嚴重級別進行重定義

系統(tǒng)的標準化策略具備良好的可擴展性，可通過配置文件或界面實現(xiàn)管理功能

支持不同設備相同IP的日志識別

可以*收集采集對象上的日志信息，也支持在安全事件收集引擎上設置過濾條件，可過濾出無關安全事件，滿足根據(jù)實際業(yè)務需求減少采集對象發(fā)送到核心服務器的安全事件數(shù)，從而減少對網(wǎng)絡帶寬和數(shù)據(jù)庫存儲空間地占用

系統(tǒng)具有歸并技術，安全事件收集代理會在一段時間內(nèi)比較收到的安全事件，如果安全事件相同，則只需發(fā)送一條安全事件，該安全事件應包括安全事件詳情及該安全事件發(fā)生的次數(shù)，這樣可以減少安全事件通信量

支持根據(jù)設備類型，按日期展示日志的接入情況，包含不同級別日志數(shù)量統(tǒng)計

挖掘不同類型、來源于不同設備或系統(tǒng)的日志或安全事件之間可能存在的關聯(lián)關系，系統(tǒng)提供了GUI方式的關聯(lián)規(guī)則設置功能，關聯(lián)的類型包括基于規(guī)則和基于統(tǒng)計的

支持基于異常統(tǒng)計模型的檢查分析功能，如：識別異常的流量攻擊等

若日志滿足系統(tǒng)內(nèi)置或用戶定義的關聯(lián)策略，將產(chǎn)生關聯(lián)事件

支持顯示審計事件分類統(tǒng)計列表，根據(jù)審計策略名稱、審計事件類型、被審計人員、目標設備地址四個維度展現(xiàn)

支持以列表的方式展示告警、告警聲音設置、告警過濾策略；支持系統(tǒng)支持通過 GUI 設置告警策略； 系統(tǒng)內(nèi)置豐富關聯(lián)/審計類告警策略，并靈活支持自定義策略。

支持根據(jù)的原則和要求進行職、權分離，對系統(tǒng)本身進行分角色定義，如管理員只負責完成設備的初始配置，規(guī)則配置員只負責審計規(guī)則的建立，審計員只負責查看相關的審計結果及告警內(nèi)容；日志員只負責完成對系統(tǒng)本身的用戶操作日志管理