1

日志审计设备

SIP-Logger-A600-M4

1

台

1、所投产品要求为一个完整的软硬件一体化产品，无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁；采用标准2U机架式硬件，至少具有50个主机审计许可证书（最大可扩展至150个），平均每秒处理日志数（eps）最大性能≥2500，可用存储量≥4TB（RAID1 模式）；至少具备≥6个千兆电口+2个万兆光口。

2、日志采集：

1)支持安全设备、网络设备、中间件、服务器、数据库、操作系统、业务系统等不少于800种日志对象的日志数据采集。

2)支持Deepin、openeuler、银河麒麟、UOS等25款国产化操作系统日志接入。

3)支持主动、被动相结合的数据采集方式，支持通过Agent采集日志数据，支持通过syslog、SNMP Trap、JDBC、WMI、webservice、FTP、SFTP、文件\文件夹读取、Kafka等多种方式完成日志收集；

4)内置大量日志处理模型，自动解析主流网络设备、安全设备和中间件的日志数据，标准化自动识别系统类型至少达到200种。

5)支持通过正则、分隔符、json、xml的可视方式进行自定义规则解析，支持对解析结果字段的新增、合并、映射，以满足除内置解析规则之外未被覆盖的日志类型的解析。（提供功能截图证明材料）

6)支持自动识别采集设备、支持设备异常告警、设备异常告警发送邮件或第三方接口。

7)支持对每个日志源设置过滤条件规则，自动过滤无用日志，满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数，减少对网络带宽和数据库存储空间的占用。

3、资产管理：

1)支持资产全生命周期管理，资产入库审核、资产离线风险识别、资产退库、资产数据更新，责任人管理机制等，支持自定义资产标签、属性。

2)支持拓扑管理，能够基于拓扑图的资产相关数据信息快速查看资产评分、安全事件分布、告警分布等，支持通过拓扑下钻查看对应资产的关联事件、审计事件、日志数量。

3)支持对IPv4/ipv6对象的自动发现功能，对自动发现的设备可以修改、删除或转为资产。

4、日志传输与转发：

1)支持TLS加密方式进行日志传输，支持日志传输状态、最近同步时间进行监控，可统计每个日志源的今日传输量和传输总量。（提供功能截图证明材料）

2)支持日志文件备份到外置存储节点，支持ISCSI存储方式，并可查看外置存储容量、状态等信息。

3)支持SM3国密算法，保障日志完整性，可以有效防止日志篡改等攻击行为。（提供功能截图证明材料）

4)支持设置日志存储策略，包括设置日志存储周期（天）、存储空间容量使用阈值等；

5、日志分析与告警：

1)支持预置审计策略模板，包括：Windows主机类审计策略模板、Linux/Unix主机类审计策略模板、数据库系统类审计策略模板等，内置审计规则数量不少于40条；

2)支持内置规则作为模板新建规则，支持调整规则等级，支持通过事件的任意字段制定规则创建策略，支持审计策略命中后可以定义告警并通过相应方式转发，如：邮件、短信等。

3)支持告警事件归并、告警确认和告警归档，支持基于频率、频次、时间的设定条件。

4)支持把告警通过API的方式发送至第三方接口，告警内容支持自定义；

5)日志进行归一化操作后，对日志等级进行映射，根据不同日志源统计不同等级下的日志数量。

6、报表：

1)内置主机安全报表（linux）、主机安全报表（windows）、数据库安全报表、网络设备安全报表、应用安全报表五种；支持自定义时间导出报表。

2)支持灵活的自定义报表，可以选择模板、数据类型等生成导出报表。

7、日志检索：

1)支持自定义过滤条件检索，支持对模糊ip、多个ip、ip地址段、应用、协议、MAC地址等其他字段精准检索，至少支持AND、OR、NOT三种运算符；

2)支持日志检索数据的投屏；支持日志查询结果的统计与导出，支持历史备份文件导入查询；

3)支持点击事件任意属性字段，可以该字段为条件对事件进行统计分析，排序支持正序和倒序，并可对统计内容进行点击下钻；

4)支持基于时间轴展示日志数据分布，能够通过时间轴进行查询分析；

5)支持解码小工具，按照不同的解码方式解码成不同的目标内容，编码格式包括base64、Unicode、GBK、HEX、UTF-8等；

6)支持单条事件进行展开，显示事件详细信息和事件原始信息，支持事件详情中任意字段作为查询条件无限制进行二次检索分析。

8、系统管理：

1)支持可视化展示，包括数据分布、安全事件趋势图、关联规则告警趋势图、接入设备概况等，可提供设备专项分析场景。如防火墙外部攻击场景分析、VPN账号异常场景分析、Windows服务器主机异常场景分析等，通过设备专项页面对每一台设备安全情况深度专业化分析；

2)支持自定义首页卡片，支持实时监控系统日志传输量和日志留存的合规情况。

3)提供管理员账号创建、修改、删除，并可针对创建的管理员进行权限设置；支持IP免登录，指定IP免认证直接进入平台；支持只允许某些IP登录平台；支持页面权限配置和资产范围配置，用于管理账号权限，满足用户三权分立的需求；

4)支持网络连通性测试工具，至少支持ping、telnet两种拨测方法；

5)支持个性化定制，支持全系统更换logo与系统名称，支持一键恢复默认。

6)支持POC测试工具一键生成数据,验证日志数据采集是否成功，避免设备部署后采集失效但不被发现等风险。（提供功能截图证明材料）

支持自定义前台web前端和后端ssh的端口，支持页面超时时间和开启ssh后台登录。

9、针对投标产品提供3年硬件质保及软件升级服务，并提供售后服务承诺函。