460 likes | 678 Views
Présentation de Net Report . Version 5 2009. Agenda. Présentation Société Présentation Produits Fonctionnalités Principales Centralisation & Archivage Dashboard et Reporting Alertes & Corrélation Investigation et Personnalisation Synthèse. Présentation Société.
E N D
Présentation de Net Report Version 5 2009
Agenda • Présentation Société • Présentation Produits • Fonctionnalités Principales • Centralisation & Archivage • Dashboard et Reporting • Alertes & Corrélation • Investigation et Personnalisation • Synthèse
A Propos de Net Report • Société crée en 2002 mais ayant rachetée comme cœur produit, une solution de Business Intelligence existant depuis 1985. • Chiffre d’affaire 2007 de 1.5 M USD. • Capital salarial & investisseurs privé. • Plus de 200 clients grands comptes. • Plus de 15 centres de service MSSP. • Présent dans plus de 20 pays.
Net Report : Solution SIEM • Spécialiste de l’exploitation de logs • Une offre complète qui couvre l’ensemble de vos besoins : • Centralisation et archivage au format brut. • Génération de tableaux de bord et reporting. • Corrélation d’événements et remontées d’alertes. • Analyse à posteriori (forensic investigation) et manipulation des données. • Véritable Solution de Business Intelligence • Transforme vos données brutes en indicateurs décisionnels. • Permet la mise en conformité avec les réglementations internationales • Assure la conformité avec les réglementations internationales, telles que Sarbanes-Oxley, Bâle II et la LSF.
Quels sont les principales questions ? • Que se passe-t-il sur mon réseau ? • Suis-je sûr que les employés utilisent l’infrastructure IT à des fins professionnelles ou personnelles ? • Est-ce que mon infrastructure est dimensionnée pour nos besoins ? • Est-ce que la politique de sécurité de l’entreprise correspond à la réalité ? • Est-ce que notre entreprise répond aux réglementations telles que Sarbanes Oxley, Bâle II, la LSF ?
Quels sont les besoins fonctionnels ? • Un reporting efficace et à la demande sur des équipements hétérogènes : Firewall/ VPN, IDS/IPS, Proxy, Serveur Mail, Gateway Anti-Virus et Serveur Web. • Réduire le coût de supervision de la sécurité et automatiser les processus. • Assurer et contrôler le bon usage de l’IT par les employés. • Optimiser l’utilisation du réseau. • Investiguer facilement les évènements. • Créer ses propres rapports.
4 Produits Une solution packagée pour l’analyse des logs, le reporting et les tableaux de bord personnalisables. Une plate forme de gestion temps réel des événements sécurité, incluant à la fois un module de stockage des données au format brut, la Console d’alertes et de corrélation ainsi que Net Report Log Analyser. Analysez des volumes importants de données sous plusieurs angles sur de multiples sources de données, créez des requêtes ad hoc et des rapports personnalisés avec la charte graphique de votre entreprise. Les Appliances Net Report offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de traitement maximum dans un espace minimum.
La solution – Architecture Correlate Enhance Data LDAP, ADS, SQL, RDNS Appliance OLAP Cubes
Les données – Architecture Log unitaire (RAW) Conservation 7j-15j (env~) Chaque évènement est présent Agrégation journalière Conservation 62j-93j Comptabilisation de chaque évènement par jour Ecriture d’un fichier à plat contextuel enrichi, copie de la base de donnée (CSV) Agrégation mensuelle Conservation 6m à 7ans Comptabilisation de chaque évènement par mois Génération du fichierà plat préparation à la sauvegarde légale (XML-Syslog trace) CSV Zone d’archivage Long terme (6 mois à plusieurs années) Zone de stockage Temporaire (2 jours)
Réponse Globale Business Intelligence & Réglementaire
Centralisation en 1 point unique Toutes les données sont centralisées dans une base de données pour la génération des tableaux de bords et pour l’investigation. Format de logs archivables Net Report archive tous les fichiers de logs au format, syslog, fichiers à plat ou API propriétaires. Valeur légales Les logs sont stockés dans leur format natif afin d’être présentés si nécessaire comme preuve lors d’une enquête ou commission rogatoire. Intégrité, Compression et Chiffrement Les fichiers de logs sont signés, compressés et chiffrés de manière journalière (par type de périphérique et/ou date). Centralisation et Archivage
Dashboards • Tableaux de bord consolidés • Net Report interprète et présente les informations dans un format simple, systématiquement catégorisés et contenant de nombreux graphiques. • Publication des tableaux de bord • Les tableaux de bord sont générés ou planifiés en fonction des paramètres définis au niveau du portail web. • Drill-Down • Les tableaux de bord proposent une navigation aisée, permettant un véritable drill-down pour remonter l’information recherchée. • Fichiers liés chronologiquement • Les flèches présentes sur les rapports permettent une navigation vers les jours ou mois précédant ou suivant le rapport actuellement affiché.
* * Les Tableaux de bord * Catégories normalisées * * Disponible courant 2008
Corrélation & Remontées d’alertes • Simplifier la prise de décision • En corrélant les informations d’un grand nombre d’équipements de sécurité répartis sur l’ensemble de votre système d’information. • Automatiser la remontée d’alertes • Par une définition simple des patterns (clefs), des seuils, des règles et des actions appropriées afin de simplifier l’administration de la sécurité. • Réduire les coûts d’administration • Par une gestion automatisé des évènements de sécurité, vous améliorez la disponibilité et l’efficacité de vos équipes. • Analyse Temps réel • Net Report permet d’analyser en temps réel la masse d’informations et de corréler les alertes provenant de différents équipements. Objectif Ne remonter que les alertes et des évènements que vous espérez ne jamais voir !
Administration des alertes • Alert Summary • Affiche les alertes qui doivent être prises en compte ou qui sont en cours de traitement, avec système de gestion des alertes. • Information • Affiche les alertes informationnelles. • Resolved • Affiche les alertes qui sont traitées et résolues. • Search • Affiche toutes les alertes, filtrez les alertes en cliquant sur les icônes ou les hyperliens. Par exemple, filtrer des évènements pour une adresse IP.
Exemples de scénarii de corrélation (1) • Pour les équipements de type IPS/IDS • Vulnérabilité assessment basé sur le code CVE envoyé par l'IDS / IPS sur l'alerte et la réalité de la vulnérabilité sur la cible (intégration d'informations en provenance de scanners de vulnérabilité dans une base de vulnérabilité IP;CVE;RESULT, alerte sur des vulnérabilités avérées . • Mémorisation des IP des attaquants bloquée par l'IPS pour corrélation avec les firewalls (placés après) acceptant le trafic de l'attaquant, alerte sur un attaquant rentrant sur le réseau interne. • Envoi des autres alarmes de IPS en "information" dans la console pour une agrégation/corrélation classique sur quantité... • Pour les équipements de type FW/Routeur avec Access list • Contrôle de la politique de sécurité des FW par une modélisation de la politique de sécurité sous forme des ports autorisés dans une base/dictionnaire possédant les informations : EQUIPEMENT;PORT;STATUT alertes en cas de violation de cette politique de sécurité. • Contrôle sur les actions bloquées répétées de la part d'IP identiques, envoie en "Information" sur seuil dépassé sur laps de temps (par exe : 10 itération en 10 minutes).
Exemples de scénarii de corrélation (2) • Pour les équipements de type passerelles Anti Virus / Anti Spam / Anti… tout (x) • Alerte sur virus sortant dès le premier virus. • Information sur spam sortant sur le 10e spam du même utilisateur dans les 10 dernières minutes. • Alerte sur les virus entrants sur un seuil basé sur le nombre* de virus habituels mensuels (*=contactez moi pour plus d'information sur les méthodes de calculs possibles) rencontrés sur 5 minutes. • Information sur les virus entrants sur un seuil basé sur le nombre* de virus habituels journaliers rencontrés sur 5 minutes. • Pour les équipements de type messagerie, passerelles de messagerie • Alerte sur les emails sortant envoyant plus de 500 emails en 5 minutes. (exclusion en cas de mailing list). • Pour les systèmes d'authentification • Alerte/information sur les échecs répétés d'authentification ( plusieurs niveau d'alertes , contrôle de brut force).
Exemples de scénarii de corrélation (3) • Pour les système de QOS / Load Balancing • Alerte sur les pannes de noeuds répétés, et maintenues dans le temps (attention au doublons possible avec les système de supervision réseau type Nagios, HPOV...). • Pour des système type proxy • Utilisation suspecte ou excessive (par exemple 30 sites en 30 minutes). • Bypass du proxy, connexion directe à Internet (via Firewall). • Pour des systèmes Windows, Contrôleurs de Domaines, Serveurs de fichiers • Modification de droits/groupes ne rentrant pas dans le process habituel (le user change de lui même ses privilèges). • Un utilisateur tente de modifier ses droits pour faire partie d’un nouveau groupe et que cette modification a été terminée avec succès. • Attaque par force brute, tentative suivi de succès (10 tentatives et 1 succès). • Suppression par un utilisateur non autorisé (politique de sécurité) de fichiers sur des répertoires précis d’un serveur).
Investigation et personnalisation 24 octobre 2014 36
Multi-Device/Multi-Source Rapport de traçabilité Investigation • Net Report Tool Kit • Outil Flexible et puissant d’interrogation de la base de donnée • Tableaux croisés Dynamiques • Cubes OLAP
Net Report Tool Kit (2) • Requêteur flexible de base de données • Net Report Tool Kit permet de: • Créer de nouveaux rapports. • Modifier les rapports existants. • Créer des rapports Multi-équipements. • Customiser la mise en page des rapports à votre image. • Créer de nouveaux Cubes
Net Report Appliance Models 1 & 2 • Objectifs • Réduire la complexité de la gestion des données des logs de sécurité, pour les petites comme les grandes entreprises. • Avantages • Facile à déployer et à administrer, Net Report Appliance Models 1 & 2 offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de stockage interne dans un espace minimum. • Richesse • Net Report Appliance Models 1 & 2 intègrent la dernière version de Net Report Monitoring Center, incluant les dernières options d’installation rapide pour faciliter le déploiement et la configuration de Net Report au sein de l’entreprise. • Puissance • Les Appliances Net Report permettent aux entreprises d’analyser des milliers d’évènements par seconde jusqu’à plusieurs douzaines de millions d’évènements par jour.
Net Report Appliance Model 1: • Rack 2U, 1 Processeur Quad Core 2.33 Ghtz • 4 Go de RAM • 3 Disques 15 K rpm de 146 Go en raid 5 soit 292 Go utile • Alimentation redondante • Licences OEM Windows 2003 + SQL server 2005 • Maintenance sur site J+1 3ans • Licence Net Report Appliance Monitoring. • Net Report Appliance Model 2 : • Rack 2U, 2 Processeurs Quad Core 2,33 Ghtz • 4 Go de RAM • 3 Disques 15 K rpm de 300 Go en raid 5 soit 600 Go utile • Alimentation redondante • Licences OEM Windows 2003 + SQL server 2005 • Maintenance sur site J+1 3ans • Licence Net Report Appliance Monitoring
Une solution Unique Net Report est l’unique solution qui vous offre en même temps: • Une solution complète et intégrée • La conformité avec la loi pour la sécurisation des logs bruts • Un véritable reporting de haut niveau • Une investigation facile avec les Cubes OLAP • Une corrélation temps réel avec gestion des incidents A un coût d’achat raisonnable Et un coût opérationnel faible