@苏苏
2年前 提问
1个回答

日志审计系统怎么区分

Andrew
2年前

一般根据不同的会话来区分日志审计系统,具体分为以下这些:

  • HTTP 会话审计

    从流量中还原 HTTP 会话数据,并根据会话特征进一步深度解析 HTTP BBS访问、HTTP 网页标题、HTTP 威胁情报、HTTP DGA 域名(DGA 域名库、机器学习)、搜索关键词及其他 HTTP 会话等,数据中至少包含请求方法、返回值、主机名、网页地址、用户代理、语言、服务器类型等数据。

  • DNS 会话审计

    从流量中还原 DNS 会话数据,并根据会话特征进一步深度解析 DNS 威胁情报、DNS DGA 域名、DNS 解码错误、DNS 解析错误、DNS 解析超时,数据中至少包含请求域名(FQDN)、DNS 服务器地址、DNS 服务器端口、请求返回解析地址等信息。

  • FTP 会话审计

    从流量中还原 FTP 会话数据,数据中至少包含登录用户、传输文件名以及操作命令等信息。

  • Telnet 会话审计

    从流量中还原 Telnet 会话数据,数据中至少包含登录用户以及操作命令的实际内容等信息。数据库会话审计从流量中还原主流数据库会话数据,如 Mysql、SQLServer、Oracle 等主流数据库,数据中至少应包含登录用户名、操作命令(抓取 SQL 语句)等信息。

  • 邮件会话审计

    从流量中还原邮件会话数据,包括 POP3,SMTP、IMAP 协议,数据中至少包含收件人、发件人、主题、附件名称等信息。

  • TLS 会话审计

    从流量中还原 TLS 会话数据,主要针对 SSL/TLS 握手部分(非加密),数据中至少包含服务器及客户端证书、服务器名称等信息。

  • 工控会话审计

    从流量中还原应用协议为 IEC104、MMS、MODBUS、OPC、OPCUA、EthernetI IP 和 CIP 的工控会话,数据中包含工控会话的 MODBUS 的功能码、功能描述,支持解析 IEC、EthernetI IP 和 CIP 的命令等信息。