SOC之安全事件分析基础01 — 数据采集

        无论谁要实现安全运维管理，要做安全事件分析，数据采集是最先遇到的问题。评价一个SOC系统的好坏，其对设备种类、日志格式种类的支持是非常重要的。

        广泛的事件采集是全面分析整个网络状况的基础。单个设备或单类设备只是从一个角度来反映整个网络状况。只有通过对各类设备和多台设备进行集中分析才能从全局把握整个网络的状况。为了采集各种设备日志信息，采用模块化设计，针对不同类型设备，采用不同模块来收集数据。这种模块化设计便于维护，易于扩展，很容易实现对新设备日志收集支持。

数据采集应可支持多种协议和方式：

■ 日志文件格式

WebTrend、CSV、XML等

■ 数据库方式

JDBC/ODBC兼容SQL

■ SNMP协议

SNMPV1－V3

■ SYSLOG方式

支持syslog的设备

■ OPSEC协议

支持CheckPoint及同类设备

■ 数据流协议

支持Netflow/cflow/sflow/NetStream协议设备

■ WINDOWS事件日志

支持通过WMI接口访问Windows事件日志

日志采集Agent采用开放式接口，具有良好扩展性。除了支持国际主流安全设备的日志采集外，通过agent开发工具能在较短时间内开发满足用户需要的特殊设备日志采集。