日志审计系统怎么区分
一般根据不同的会话来区分日志审计系统,具体分为以下这些:
HTTP 会话审计
从流量中还原 HTTP 会话数据,并根据会话特征进一步深度解析 HTTP BBS访问、HTTP 网页标题、HTTP 威胁情报、HTTP DGA 域名(DGA 域名库、机器学习)、搜索关键词及其他 HTTP 会话等,数据中至少包含请求方法、返回值、主机名、网页地址、用户代理、语言、服务器类型等数据。
DNS 会话审计
从流量中还原 DNS 会话数据,并根据会话特征进一步深度解析 DNS 威胁情报、DNS DGA 域名、DNS 解码错误、DNS 解析错误、DNS 解析超时,数据中至少包含请求域名(FQDN)、DNS 服务器地址、DNS 服务器端口、请求返回解析地址等信息。
FTP 会话审计
从流量中还原 FTP 会话数据,数据中至少包含登录用户、传输文件名以及操作命令等信息。
Telnet 会话审计
从流量中还原 Telnet 会话数据,数据中至少包含登录用户以及操作命令的实际内容等信息。数据库会话审计从流量中还原主流数据库会话数据,如 Mysql、SQLServer、Oracle 等主流数据库,数据中至少应包含登录用户名、操作命令(抓取 SQL 语句)等信息。
邮件会话审计
从流量中还原邮件会话数据,包括 POP3,SMTP、IMAP 协议,数据中至少包含收件人、发件人、主题、附件名称等信息。
TLS 会话审计
从流量中还原 TLS 会话数据,主要针对 SSL/TLS 握手部分(非加密),数据中至少包含服务器及客户端证书、服务器名称等信息。
工控会话审计
从流量中还原应用协议为 IEC104、MMS、MODBUS、OPC、OPCUA、EthernetI IP 和 CIP 的工控会话,数据中包含工控会话的 MODBUS 的功能码、功能描述,支持解析 IEC、EthernetI IP 和 CIP 的命令等信息。