W3A SOCWeb 日志审计与网络监控

联合创作 · 2023-09-27 07:09

W3A SOC 基于日志安全分析做切入,做「安全运维工作台」,助力实现安全运维一体自动化,提升效率。

主要特性

  • 日志分析: 基于kafka+GoLang的方式,对采集的Web和系统应用日志进行攻击行为的分析。
  • 篡改监控: 基于Golang开发的页面篡改监控。
  • 业务连续性监控: 基于网络的业务连续性监控服务,确定业务是否有中断。
  • 告警整合: 实现钉钉、企业微信的联动告警机制。
  • 部署支持:docker-compose、Kubernetes。
  • 整体架构:基于 Filebeat(采集/清洗) + Kafka(汇聚) + ElasticSearch(检索)
  • 技术实现:后端基于Java,前端基于Vue,数据库基于MYSQL。

目标

  • 满足等保二级、三级的需求,直接部署就能用那种。
  • 让客户少花钱,然后也能用,不串联到业务中,对业务0影响。
  • 部署简单,一键部署,或者直接随着元豚科技生态自动部署。

Web日志分析

  • 通过Logstash/filebeat采集日志到ES上。
  • Golang通过开放平台,获取规则信息针对Kafka的日志进行实时分析。
  • 将存在问题的部分直接存到平台里,平台只存落地的攻击日志、记录分析日志数。
  • 攻击源IP地址分析,结合IP来源进行分析。
  • 输出可以用于封禁的API接口,查可封禁的IP。

存活监控/篡改监控告警

  • 针对提交的IP进行检测,看是否存活,可以分布式,持续的监测。
  • 针对目标进行篡改监控。

问题告警

  • 针对出现的问题,统一告警输出。
  • 支持钉钉、企业微信。

界面如图:

浏览 8
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报