★产品性能:事件采集≥10000EPS,事件处理最高≥3000EPS。 ★接口信息:配置≥6个千兆电口,≥2个扩展插槽,≥4T硬盘。 ★产品授权:支持审计≥200个节点,配置≥100授权节点,提供3年标准维保。 ★事件查询性能:百亿条日志量查询平均响应时间不超过10秒 功能要求: 1、支持通过syslog、SNMP Trap、JDBC、Agent代理、WMI、(S)FTP、NetBIOS、文件\文件夹读取、Kafka等多种方式完成各种日志的收集功能; 2、 配置日志收集、存储、查询、统计、关联分析、告警等功能,系统内置常见安全事件关联分析规则; ▲3、 支持对日志进行归一化处理并保留原始日志,方便用户对关键日志快速定位和事后取证; ▲4、 可对不同类型设备的日志之间进行关联分析,支持对于关联事件进行追溯,查看导致该关联事件的所有原始事件; 5、 实时告警显示系统最新的告警信息,系统提供实时告警信息查看功能; 6、采用机器学习对原始日志进行聚类分析,能够对原始日志结构模式进行自动识别(无须范化),使审计人员清晰了解采集的日志构成 7、可根据需要随时调整已创建的仪表板,编辑仪表板展示条件,调整大小和位置、新增组件等;可针对仪表板的任一元素进行下钻,查看原始日志 ▲8、支持对日志中的源和目的IP地址进行自动补全,补全IP地址的资产、国家、区域和城市等信息, ★9、日志支持同步至综合安全监管平台。 10、支持原始消息中的关键字查询,可进行全文检索,查询显示查询记录总数,当前查询耗时 |