Présentation de Net Report Version 5 2009
Présentation Produits Fonctionnalités Principales Agenda Présentation Société Présentation Produits Fonctionnalités Principales Centralisation & Archivage Dashboard et Reporting Alertes & Corrélation Investigation et Personnalisation Synthèse 31 mars 2017
Présentation Société 31 mars 2017
Chiffre d’affaire 2007 de 1.5 M USD. A Propos de Net Report Société crée en 2002 mais ayant rachetée comme cœur produit, une solution de Business Intelligence existant depuis 1985. Chiffre d’affaire 2007 de 1.5 M USD. Capital salarial & investisseurs privé. Plus de 200 clients grands comptes. Plus de 15 centres de service MSSP. Présent dans plus de 20 pays. 31 mars 2017
Net Report : Solution SIEM Spécialiste de l’exploitation de logs Une offre complète qui couvre l’ensemble de vos besoins : Centralisation et archivage au format brut. Génération de tableaux de bord et reporting. Corrélation d’événements et remontées d’alertes. Analyse à posteriori (forensic investigation) et manipulation des données. Véritable Solution de Business Intelligence Transforme vos données brutes en indicateurs décisionnels. Permet la mise en conformité avec les réglementations internationales Assure la conformité avec les réglementations internationales, telles que Sarbanes-Oxley, Bâle II et la LSF. 31 mars 2017
La problématique de l’analyse de log Faire de l’analyse de log sans les outils adéquats revient à chercher une aiguille dans une meule de foin Certains prennent une image d’un problème local, la plupart ne trouvent rien… La problématique de l’analyse de log Garder en caché Une équipe complète doit travailler dans des directions différentes pendant des heures, voir des jours A la fin, vous êtes aveugle ou vous ne voyez qu’une petite partie du problème ! 31 mars 2017
Quels sont les principales questions ? Que se passe-t-il sur mon réseau ? Suis-je sûr que les employés utilisent l’infrastructure IT à des fins professionnelles ou personnelles ? Est-ce que mon infrastructure est dimensionnée pour nos besoins ? Est-ce que la politique de sécurité de l’entreprise correspond à la réalité ? Est-ce que notre entreprise répond aux réglementations telles que Sarbanes Oxley, Bâle II, la LSF ? 31 mars 2017
Quels sont les besoins fonctionnels ? Un reporting efficace et à la demande sur des équipements hétérogènes : Firewall/ VPN, IDS/IPS, Proxy, Serveur Mail, Gateway Anti-Virus et Serveur Web. Réduire le coût de supervision de la sécurité et automatiser les processus. Assurer et contrôler le bon usage de l’IT par les employés. Optimiser l’utilisation du réseau. Investiguer facilement les évènements. Créer ses propres rapports. 31 mars 2017
Présentation Produits 31 mars 2017
4 Produits Une solution packagée pour l’analyse des logs, le reporting et les tableaux de bord personnalisables. Une plate forme de gestion temps réel des événements sécurité, incluant à la fois un module de stockage des données au format brut, la Console d’alertes et de corrélation ainsi que Net Report Log Analyser. Analysez des volumes importants de données sous plusieurs angles sur de multiples sources de données, créez des requêtes ad hoc et des rapports personnalisés avec la charte graphique de votre entreprise. Les Appliances Net Report offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de traitement maximum dans un espace minimum. 31 mars 2017
La solution – Architecture Enhance Data LDAP, ADS, SQL, RDNS Appliance Correlate OLAP Cubes 31 mars 2017
Les données – Architecture Log unitaire (RAW) Conservation 7j-15j (env~) Chaque évènement est présent Agrégation journalière Conservation 62j-93j Comptabilisation de chaque évènement par jour Ecriture d’un fichier à plat contextuel enrichi, copie de la base de donnée (CSV) Agrégation mensuelle Conservation 6m à 7ans Comptabilisation de chaque évènement par mois Génération du fichier à plat préparation à la sauvegarde légale (XML-Syslog trace) Zone de stockage Temporaire (2 jours) CSV Zone d’archivage Long terme (6 mois à plusieurs années) 31 mars 2017
Produits supportés 31 mars 2017
Fonctionnalités Principales 31 mars 2017
Business Intelligence Réponse Globale Business Intelligence & Réglementaire 31 mars 2017
Centralisation & Archivage 31 mars 2017
Centralisation et Archivage Centralisation en 1 point unique Toutes les données sont centralisées dans une base de données pour la génération des tableaux de bords et pour l’investigation. Format de logs archivables Net Report archive tous les fichiers de logs au format, syslog, fichiers à plat ou API propriétaires. Valeur légales Les logs sont stockés dans leur format natif afin d’être présentés si nécessaire comme preuve lors d’une enquête ou commission rogatoire. Intégrité, Compression et Chiffrement Les fichiers de logs sont signés, compressés et chiffrés de manière journalière (par type de périphérique et/ou date). 31 mars 2017
Architecture des Archives 31 mars 2017
Dashboard et Reporting 31 mars 2017
Tableaux de bord consolidés Dashboards Tableaux de bord consolidés Net Report interprète et présente les informations dans un format simple, systématiquement catégorisés et contenant de nombreux graphiques. Publication des tableaux de bord Les tableaux de bord sont générés ou planifiés en fonction des paramètres définis au niveau du portail web. Drill-Down Les tableaux de bord proposent une navigation aisée, permettant un véritable drill-down pour remonter l’information recherchée. Fichiers liés chronologiquement Les flèches présentes sur les rapports permettent une navigation vers les jours ou mois précédant ou suivant le rapport actuellement affiché. 31 mars 2017
Catégories normalisées Les Tableaux de bord * * * * Disponible courant 2008 31 mars 2017
UTM Dashboards 31 mars 2017
Firewall Dashboards 31 mars 2017
IDS / IPS Dashboards 31 mars 2017
Content Filtering Dashboards 31 mars 2017
Web Traffic Statistics Dashboards 31 mars 2017
Serveur Mail Dashboards 31 mars 2017
Proxy Dashboards 31 mars 2017
Microsoft WMI Dashboards 31 mars 2017
Alertes & Corrélation 31 mars 2017
Corrélation & Remontées d’alertes Simplifier la prise de décision En corrélant les informations d’un grand nombre d’équipements de sécurité répartis sur l’ensemble de votre système d’information. Automatiser la remontée d’alertes Par une définition simple des patterns (clefs), des seuils, des règles et des actions appropriées afin de simplifier l’administration de la sécurité. Réduire les coûts d’administration Par une gestion automatisé des évènements de sécurité, vous améliorez la disponibilité et l’efficacité de vos équipes. Analyse Temps réel Net Report permet d’analyser en temps réel la masse d’informations et de corréler les alertes provenant de différents équipements. Objectif Ne remonter que les alertes et des évènements que vous espérez ne jamais voir ! 31 mars 2017
Administration des alertes Alert Summary Affiche les alertes qui doivent être prises en compte ou qui sont en cours de traitement, avec système de gestion des alertes. Information Affiche les alertes informationnelles. Resolved Affiche les alertes qui sont traitées et résolues. Search Affiche toutes les alertes, filtrez les alertes en cliquant sur les icônes ou les hyperliens. Par exemple, filtrer des évènements pour une adresse IP. 31 mars 2017
Exemples de scénarii de corrélation (1) Pour les équipements de type IPS/IDS Vulnérabilité assessment basé sur le code CVE envoyé par l'IDS / IPS sur l'alerte et la réalité de la vulnérabilité sur la cible (intégration d'informations en provenance de scanners de vulnérabilité dans une base de vulnérabilité IP;CVE;RESULT, alerte sur des vulnérabilités avérées . Mémorisation des IP des attaquants bloquée par l'IPS pour corrélation avec les firewalls (placés après) acceptant le trafic de l'attaquant, alerte sur un attaquant rentrant sur le réseau interne. Envoi des autres alarmes de IPS en "information" dans la console pour une agrégation/corrélation classique sur quantité... Pour les équipements de type FW/Routeur avec Access list Contrôle de la politique de sécurité des FW par une modélisation de la politique de sécurité sous forme des ports autorisés dans une base/dictionnaire possédant les informations : EQUIPEMENT;PORT;STATUT alertes en cas de violation de cette politique de sécurité. Contrôle sur les actions bloquées répétées de la part d'IP identiques, envoie en "Information" sur seuil dépassé sur laps de temps (par exe : 10 itération en 10 minutes). 31 mars 2017
Exemples de scénarii de corrélation (2) Pour les équipements de type passerelles Anti Virus / Anti Spam / Anti… tout (x) Alerte sur virus sortant dès le premier virus. Information sur spam sortant sur le 10e spam du même utilisateur dans les 10 dernières minutes. Alerte sur les virus entrants sur un seuil basé sur le nombre* de virus habituels mensuels (*=contactez moi pour plus d'information sur les méthodes de calculs possibles) rencontrés sur 5 minutes. Information sur les virus entrants sur un seuil basé sur le nombre* de virus habituels journaliers rencontrés sur 5 minutes. Pour les équipements de type messagerie, passerelles de messagerie Alerte sur les emails sortant envoyant plus de 500 emails en 5 minutes. (exclusion en cas de mailing list). Pour les systèmes d'authentification Alerte/information sur les échecs répétés d'authentification ( plusieurs niveau d'alertes , contrôle de brut force). 31 mars 2017
Exemples de scénarii de corrélation (3) Pour les système de QOS / Load Balancing Alerte sur les pannes de noeuds répétés, et maintenues dans le temps (attention au doublons possible avec les système de supervision réseau type Nagios, HPOV...). Pour des système type proxy Utilisation suspecte ou excessive (par exemple 30 sites en 30 minutes). Bypass du proxy, connexion directe à Internet (via Firewall). Pour des systèmes Windows, Contrôleurs de Domaines, Serveurs de fichiers Modification de droits/groupes ne rentrant pas dans le process habituel (le user change de lui même ses privilèges). Un utilisateur tente de modifier ses droits pour faire partie d’un nouveau groupe et que cette modification a été terminée avec succès. Attaque par force brute, tentative suivi de succès (10 tentatives et 1 succès). Suppression par un utilisateur non autorisé (politique de sécurité) de fichiers sur des répertoires précis d’un serveur). 31 mars 2017
Investigation et personnalisation 31 mars 2017 36 36
Multi-Device/Multi-Source Investigation Multi-Device/Multi-Source Rapport de traçabilité Date Origin Action Source IP Destination IP Rule / Attack / Results Source Area Destination Area Net Report Tool Kit Outil Flexible et puissant d’interrogation de la base de donnée Tableaux croisés Dynamiques Cubes OLAP Lien vers le HTA du cube Idem en page suivantes 31 mars 2017
Cube Proxy 31 mars 2017
Cube Proxy 31 mars 2017
Cube Olap IPS 31 mars 2017
Cube WMI 31 mars 2017
Net Report Tool Kit (1) 31 mars 2017
Net Report Tool Kit (2) Requêteur flexible de base de données Net Report Tool Kit permet de: Créer de nouveaux rapports. Modifier les rapports existants. Créer des rapports Multi-équipements. Customiser la mise en page des rapports à votre image. Créer de nouveaux Cubes 31 mars 2017
Net Report Appliance Models 1 & 2 Objectifs Réduire la complexité de la gestion des données des logs de sécurité, pour les petites comme les grandes entreprises. Avantages Facile à déployer et à administrer, Net Report Appliance Models 1 & 2 offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de stockage interne dans un espace minimum. Richesse Net Report Appliance Models 1 & 2 intègrent la dernière version de Net Report Monitoring Center, incluant les dernières options d’installation rapide pour faciliter le déploiement et la configuration de Net Report au sein de l’entreprise. Puissance Les Appliances Net Report permettent aux entreprises d’analyser des milliers d’évènements par seconde jusqu’à plusieurs douzaines de millions d’évènements par jour. 31 mars 2017
Net Report Appliance Model 1: Rack 2U, 1 Processeur Quad Core 2.33 Ghtz 4 Go de RAM 3 Disques 15 K rpm de 146 Go en raid 5 soit 292 Go utile Alimentation redondante Licences OEM Windows 2003 + SQL server 2005 Maintenance sur site J+1 3ans Licence Net Report Appliance Monitoring. Net Report Appliance Model 2 : Rack 2U, 2 Processeurs Quad Core 2,33 Ghtz 3 Disques 15 K rpm de 300 Go en raid 5 soit 600 Go utile Licence Net Report Appliance Monitoring 31 mars 2017
Synthèse 31 mars 2017
Une solution Unique Net Report est l’unique solution qui vous offre en même temps: Une solution complète et intégrée La conformité avec la loi pour la sécurisation des logs bruts Un véritable reporting de haut niveau Une investigation facile avec les Cubes OLAP Une corrélation temps réel avec gestion des incidents A un coût d’achat raisonnable Et un coût opérationnel faible 31 mars 2017