UserGate Log Analyzer

Появление новых угроз и увеличение объёма обрабатываемой информации предъявляет повышенные требования к скорости работы системы анализа. Решение UserGate Log Analyzer развёртывается отдельно от шлюза безопасности. Разделение функций обработки трафика и анализа данных позволяет обеспечить высокую надёжность и хорошую масштабируемость системы. Получаемые и обрабатываемые данные можно агрегировать с нескольких серверов. Использование отдельного сервера для анализа журналов снижает нагрузку на межсетевые экраны и позволяет обрабатывать больший объем данных.

Основные возможности

UserGate Log Analyzer осуществляет сбор и первичную обработку данных от межсетевых экранов NGFW UserGate. На основании полученных данных осуществляется глубокий анализ произошедших событий безопасности, определяются и отслеживаются подозрительные активности отдельных пользователей или хостов, что в том числе необходимо для соответствия современной концепции SOAR (Security Automation, Orchestration and Response). При настройке UserGate администратор может указать, какие типы событий пересылаются для анализа в Log Analyzer. Опции для выбора включают журнал событий, журнал системы обнаружения вторжений, журналы трафика, событий АСУ ТП, а также события из журнала веб-доступа.

В секции подготовки отчётов располагаются готовые шаблоны отчётов и правила их обработки. В этой же секции доступны выполненные по запросу администратора отчёты.

Подготовка отчётов с использованием готовых шаблонов в UserGate Log Analyzer

UserGate Log Analyzer предлагает готовые шаблоны отчётов по следующим категориям: captive портал, системные события, система обнаружения вторжений (СОВ), сетевая активность, веб портал, трафик, веб-активность.

Используя набор отчётов по веб-активности, администратор может получить подробный список всех посещённых веб-сайтов, топ блокируемых доменов, топ пользователей по URL-категориям и по заблокированным сайтам.

В секции отчётов по трафику представлена детальная информация по трафику пользователей за день/неделю/месяц, топ приложений по пользователям, и топ стран по источнику и назначению трафика.

Сетевую активность можно отследить, проанализировав DoS события по времени суток, дням месяца и недели, по месяцам. Доступна информация по заблокированным приложениям по пользователям, топ заблокированных приложений, топ сработавших правил.

Отчёты категории СОВ предоставляют детальную информацию об атаках. Определяется топ IP-адресов источников атак, цели атакующих (IP адреса хостов), топ протоколов, используемых в атаках. Можно также получить информацию по используемым устройствам и топ сигнатур устройств. При наличии в компании captive-портала в отчётах доступна информация по авторизациям через captive-portal по времени суток, дня недели и месяца, а также суммарная информация за месяц.

Секция отчётов по событиям включает информацию об авторизации через консоль, сводный отчёт действий администраторов, изменений конфигураций по компонентам и отчёт о системных событиях по степени критичности.

Сформированные отчёты могут автоматически отправляться по электронной почте администратору и другим уполномоченным лицам. Отправка возможна по расписанию, в требуемое время и указанный день недели.

Использование отчётов из различных категорий позволяет выявить потенциальные угрозы на основе анализа произошедших событий. Модуль UserGate Log Analyzer позволяет сопоставить результаты отчётов с установленными параметрами, и обеспечить соответствие инфраструктуры требованиям корпоративной политики безопасности.