W3A SOCWeb 日志审计与网络监控
W3A SOC 基于日志安全分析做切入,做「安全运维工作台」,助力实现安全运维一体自动化,提升效率。
主要特性
- 日志分析: 基于kafka+GoLang的方式,对采集的Web和系统应用日志进行攻击行为的分析。
- 篡改监控: 基于Golang开发的页面篡改监控。
- 业务连续性监控: 基于网络的业务连续性监控服务,确定业务是否有中断。
- 告警整合: 实现钉钉、企业微信的联动告警机制。
- 部署支持:docker-compose、Kubernetes。
- 整体架构:基于 Filebeat(采集/清洗) + Kafka(汇聚) + ElasticSearch(检索)
- 技术实现:后端基于Java,前端基于Vue,数据库基于MYSQL。
目标
- 满足等保二级、三级的需求,直接部署就能用那种。
- 让客户少花钱,然后也能用,不串联到业务中,对业务0影响。
- 部署简单,一键部署,或者直接随着元豚科技生态自动部署。
Web日志分析
- 通过Logstash/filebeat采集日志到ES上。
- Golang通过开放平台,获取规则信息针对Kafka的日志进行实时分析。
- 将存在问题的部分直接存到平台里,平台只存落地的攻击日志、记录分析日志数。
- 攻击源IP地址分析,结合IP来源进行分析。
- 输出可以用于封禁的API接口,查可封禁的IP。
存活监控/篡改监控告警
- 针对提交的IP进行检测,看是否存活,可以分布式,持续的监测。
- 针对目标进行篡改监控。
问题告警
- 针对出现的问题,统一告警输出。
- 支持钉钉、企业微信。
界面如图:
评论
hanboAudit审计日志插件
hanboAudit是一个日志埋点插件,基于ORM框架的拦截器实现,目前兼容mybatis和hibernate。一般我们记录站点上某人某时刻点了哪些菜单做什么操作,通常做法就是每个接口记录输入输出日志
hanboAudit审计日志插件
0
Tintsoft/MysqlBinLogMySQL日志审计
MYSQL二进制日志记录了所有的DDL和DML的语句,但不包括查询的语句,语句以事件的方式保存,描述了数据的更改过程,此日志对发生灾难时数据恢复起到了极为重要的作用。MYSQLbinlog查看工具,作
Tintsoft/MysqlBinLogMySQL日志审计
0
Open-AudIT网络审计程序
Open-AudIT是一个网络审计程序、它基于PHP,bashshell和VBScript语言。通过它你可以知道网络上有什么,以及网络上的设备配置如何,何时有变更等。Open-AudiT通过Bash和
Open-AudIT网络审计程序
0
eventlog-auditWindows事件日志审计系统
Windows事件日志审计系统,支持以WEB的方式审计日志Windows事件日志审计系统说明Windows事件日志审计系统由2部分组成:dumplog,导出windows的事件日志到sqlite3数据
eventlog-auditWindows事件日志审计系统
0