La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Présentation de Net Report

Présentations similaires


Présentation au sujet: "Présentation de Net Report"— Transcription de la présentation:

1 Présentation de Net Report
Version 5 2009

2 Présentation Produits Fonctionnalités Principales
Agenda Présentation Société Présentation Produits Fonctionnalités Principales Centralisation & Archivage Dashboard et Reporting Alertes & Corrélation Investigation et Personnalisation Synthèse 31 mars 2017

3 Présentation Société 31 mars 2017

4 Chiffre d’affaire 2007 de 1.5 M USD.
A Propos de Net Report Société crée en 2002 mais ayant rachetée comme cœur produit, une solution de Business Intelligence existant depuis 1985. Chiffre d’affaire 2007 de 1.5 M USD. Capital salarial & investisseurs privé. Plus de 200 clients grands comptes. Plus de 15 centres de service MSSP. Présent dans plus de 20 pays. 31 mars 2017

5 Net Report : Solution SIEM
Spécialiste de l’exploitation de logs Une offre complète qui couvre l’ensemble de vos besoins : Centralisation et archivage au format brut. Génération de tableaux de bord et reporting. Corrélation d’événements et remontées d’alertes. Analyse à posteriori (forensic investigation) et manipulation des données. Véritable Solution de Business Intelligence Transforme vos données brutes en indicateurs décisionnels. Permet la mise en conformité avec les réglementations internationales Assure la conformité avec les réglementations internationales, telles que Sarbanes-Oxley, Bâle II et la LSF. 31 mars 2017

6 La problématique de l’analyse de log
Faire de l’analyse de log sans les outils adéquats revient à chercher une aiguille dans une meule de foin Certains prennent une image d’un problème local, la plupart ne trouvent rien… La problématique de l’analyse de log Garder en caché Une équipe complète doit travailler dans des directions différentes pendant des heures, voir des jours A la fin, vous êtes aveugle ou vous ne voyez qu’une petite partie du problème ! 31 mars 2017

7 Quels sont les principales questions ?
Que se passe-t-il sur mon réseau ? Suis-je sûr que les employés utilisent l’infrastructure IT à des fins professionnelles ou personnelles ? Est-ce que mon infrastructure est dimensionnée pour nos besoins ? Est-ce que la politique de sécurité de l’entreprise correspond à la réalité ? Est-ce que notre entreprise répond aux réglementations telles que Sarbanes Oxley, Bâle II, la LSF ? 31 mars 2017

8 Quels sont les besoins fonctionnels ?
Un reporting efficace et à la demande sur des équipements hétérogènes : Firewall/ VPN, IDS/IPS, Proxy, Serveur Mail, Gateway Anti-Virus et Serveur Web. Réduire le coût de supervision de la sécurité et automatiser les processus. Assurer et contrôler le bon usage de l’IT par les employés. Optimiser l’utilisation du réseau. Investiguer facilement les évènements. Créer ses propres rapports. 31 mars 2017

9 Présentation Produits
31 mars 2017

10 4 Produits Une solution packagée pour l’analyse des logs, le reporting et les tableaux de bord personnalisables. Une plate forme de gestion temps réel des événements sécurité, incluant à la fois un module de stockage des données au format brut, la Console d’alertes et de corrélation ainsi que Net Report Log Analyser. Analysez des volumes importants de données sous plusieurs angles sur de multiples sources de données, créez des requêtes ad hoc et des rapports personnalisés avec la charte graphique de votre entreprise. Les Appliances Net Report offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de traitement maximum dans un espace minimum. 31 mars 2017

11 La solution – Architecture
Enhance Data LDAP, ADS, SQL, RDNS Appliance Correlate OLAP Cubes 31 mars 2017

12 Les données – Architecture
Log unitaire (RAW) Conservation 7j-15j (env~) Chaque évènement est présent Agrégation journalière Conservation 62j-93j Comptabilisation de chaque évènement par jour Ecriture d’un fichier à plat contextuel enrichi, copie de la base de donnée (CSV) Agrégation mensuelle Conservation 6m à 7ans Comptabilisation de chaque évènement par mois Génération du fichier à plat préparation à la sauvegarde légale (XML-Syslog trace) Zone de stockage Temporaire (2 jours) CSV Zone d’archivage Long terme (6 mois à plusieurs années) 31 mars 2017

13 Produits supportés 31 mars 2017

14 Fonctionnalités Principales
31 mars 2017

15 Business Intelligence
Réponse Globale Business Intelligence & Réglementaire 31 mars 2017

16 Centralisation & Archivage
31 mars 2017

17 Centralisation et Archivage
Centralisation en 1 point unique Toutes les données sont centralisées dans une base de données pour la génération des tableaux de bords et pour l’investigation. Format de logs archivables Net Report archive tous les fichiers de logs au format, syslog, fichiers à plat ou API propriétaires. Valeur légales Les logs sont stockés dans leur format natif afin d’être présentés si nécessaire comme preuve lors d’une enquête ou commission rogatoire. Intégrité, Compression et Chiffrement Les fichiers de logs sont signés, compressés et chiffrés de manière journalière (par type de périphérique et/ou date). 31 mars 2017

18 Architecture des Archives
31 mars 2017

19 Dashboard et Reporting
31 mars 2017

20 Tableaux de bord consolidés
Dashboards Tableaux de bord consolidés Net Report interprète et présente les informations dans un format simple, systématiquement catégorisés et contenant de nombreux graphiques. Publication des tableaux de bord Les tableaux de bord sont générés ou planifiés en fonction des paramètres définis au niveau du portail web. Drill-Down Les tableaux de bord proposent une navigation aisée, permettant un véritable drill-down pour remonter l’information recherchée. Fichiers liés chronologiquement Les flèches présentes sur les rapports permettent une navigation vers les jours ou mois précédant ou suivant le rapport actuellement affiché. 31 mars 2017

21 Catégories normalisées Les Tableaux de bord * * *
* Disponible courant 2008 31 mars 2017

22 UTM Dashboards 31 mars 2017

23 Firewall Dashboards 31 mars 2017

24 IDS / IPS Dashboards 31 mars 2017

25 Content Filtering Dashboards
31 mars 2017

26 Web Traffic Statistics Dashboards
31 mars 2017

27 Serveur Mail Dashboards
31 mars 2017

28 Proxy Dashboards 31 mars 2017

29 Microsoft WMI Dashboards
31 mars 2017

30 Alertes & Corrélation 31 mars 2017

31 Corrélation & Remontées d’alertes
Simplifier la prise de décision En corrélant les informations d’un grand nombre d’équipements de sécurité répartis sur l’ensemble de votre système d’information. Automatiser la remontée d’alertes Par une définition simple des patterns (clefs), des seuils, des règles et des actions appropriées afin de simplifier l’administration de la sécurité. Réduire les coûts d’administration Par une gestion automatisé des évènements de sécurité, vous améliorez la disponibilité et l’efficacité de vos équipes. Analyse Temps réel Net Report permet d’analyser en temps réel la masse d’informations et de corréler les alertes provenant de différents équipements. Objectif Ne remonter que les alertes et des évènements que vous espérez ne jamais voir ! 31 mars 2017

32 Administration des alertes
Alert Summary Affiche les alertes qui doivent être prises en compte ou qui sont en cours de traitement, avec système de gestion des alertes. Information Affiche les alertes informationnelles. Resolved Affiche les alertes qui sont traitées et résolues. Search Affiche toutes les alertes, filtrez les alertes en cliquant sur les icônes ou les hyperliens. Par exemple, filtrer des évènements pour une adresse IP. 31 mars 2017

33 Exemples de scénarii de corrélation (1)
Pour les équipements de type IPS/IDS Vulnérabilité assessment basé sur le code CVE envoyé par l'IDS / IPS sur l'alerte et la réalité de la vulnérabilité sur la cible (intégration d'informations en provenance de scanners de vulnérabilité dans une base de vulnérabilité IP;CVE;RESULT, alerte sur des vulnérabilités avérées . Mémorisation des IP des attaquants bloquée par l'IPS pour corrélation avec les firewalls (placés après) acceptant le trafic de l'attaquant, alerte sur un attaquant rentrant sur le réseau interne. Envoi des autres alarmes de IPS en "information" dans la console pour une agrégation/corrélation classique sur quantité...  Pour les équipements de type FW/Routeur avec Access list  Contrôle de la politique de sécurité des FW par une modélisation de la politique de sécurité sous forme des ports autorisés dans une base/dictionnaire possédant les informations : EQUIPEMENT;PORT;STATUT alertes en cas de violation de cette politique de sécurité. Contrôle sur les actions bloquées répétées de la part d'IP identiques, envoie en "Information" sur seuil dépassé sur laps de temps (par exe : 10 itération en 10 minutes). 31 mars 2017

34 Exemples de scénarii de corrélation (2)
Pour les équipements de type passerelles Anti Virus / Anti Spam / Anti… tout (x) Alerte sur virus sortant dès le premier virus. Information sur spam sortant sur le 10e spam du même utilisateur dans les 10 dernières minutes. Alerte sur les virus entrants sur un seuil basé sur le nombre* de virus habituels mensuels (*=contactez moi pour plus d'information sur les méthodes de calculs possibles) rencontrés sur 5 minutes. Information sur les virus entrants sur un seuil basé sur le nombre* de virus habituels journaliers rencontrés sur 5 minutes. Pour les équipements de type messagerie, passerelles de messagerie Alerte sur les s sortant envoyant plus de 500 s en 5 minutes. (exclusion en cas de mailing list). Pour les systèmes d'authentification  Alerte/information sur les échecs répétés d'authentification ( plusieurs niveau d'alertes , contrôle de brut force). 31 mars 2017

35 Exemples de scénarii de corrélation (3)
Pour les système de QOS / Load Balancing Alerte sur les pannes de noeuds répétés, et maintenues dans le temps (attention au doublons possible avec les système de supervision réseau type Nagios, HPOV...). Pour des système type proxy Utilisation suspecte ou excessive (par exemple 30 sites en 30 minutes). Bypass du proxy, connexion directe à Internet (via Firewall). Pour des systèmes Windows, Contrôleurs de Domaines, Serveurs de fichiers Modification de droits/groupes ne rentrant pas dans le process habituel (le user change de lui même ses privilèges). Un utilisateur tente de modifier ses droits pour faire partie d’un nouveau groupe et que cette modification a été terminée avec succès. Attaque par force brute, tentative suivi de succès (10 tentatives et 1 succès). Suppression par un utilisateur non autorisé (politique de sécurité) de fichiers sur des répertoires précis d’un serveur). 31 mars 2017

36 Investigation et personnalisation
31 mars 2017 36 36

37 Multi-Device/Multi-Source
Investigation Multi-Device/Multi-Source Rapport de traçabilité Date Origin Action Source IP Destination IP Rule / Attack / Results Source Area Destination Area Net Report Tool Kit Outil Flexible et puissant d’interrogation de la base de donnée Tableaux croisés Dynamiques Cubes OLAP Lien vers le HTA du cube Idem en page suivantes 31 mars 2017

38 Cube Proxy 31 mars 2017

39 Cube Proxy 31 mars 2017

40 Cube Olap IPS 31 mars 2017

41 Cube WMI 31 mars 2017

42 Net Report Tool Kit (1) 31 mars 2017

43 Net Report Tool Kit (2) Requêteur flexible de base de données
Net Report Tool Kit permet de: Créer de nouveaux rapports. Modifier les rapports existants. Créer des rapports Multi-équipements. Customiser la mise en page des rapports à votre image. Créer de nouveaux Cubes 31 mars 2017

44 Net Report Appliance Models 1 & 2
Objectifs Réduire la complexité de la gestion des données des logs de sécurité, pour les petites comme les grandes entreprises. Avantages Facile à déployer et à administrer, Net Report Appliance Models 1 & 2 offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de stockage interne dans un espace minimum. Richesse Net Report Appliance Models 1 & 2 intègrent la dernière version de Net Report Monitoring Center, incluant les dernières options d’installation rapide pour faciliter le déploiement et la configuration de Net Report au sein de l’entreprise. Puissance Les Appliances Net Report permettent aux entreprises d’analyser des milliers d’évènements par seconde jusqu’à plusieurs douzaines de millions d’évènements par jour. 31 mars 2017

45 Net Report Appliance Model 1:
Rack 2U, 1 Processeur Quad Core 2.33 Ghtz 4 Go de RAM 3 Disques 15 K rpm de 146 Go en raid 5 soit 292 Go utile Alimentation redondante Licences OEM Windows SQL server 2005 Maintenance sur site J+1 3ans Licence Net Report Appliance Monitoring. Net Report Appliance Model 2 : Rack 2U, 2 Processeurs Quad Core 2,33 Ghtz 3 Disques 15 K rpm de 300 Go en raid 5 soit 600 Go utile Licence Net Report Appliance Monitoring 31 mars 2017

46 Synthèse 31 mars 2017

47 Une solution Unique Net Report est l’unique solution qui vous offre en même temps: Une solution complète et intégrée La conformité avec la loi pour la sécurisation des logs bruts Un véritable reporting de haut niveau Une investigation facile avec les Cubes OLAP Une corrélation temps réel avec gestion des incidents A un coût d’achat raisonnable Et un coût opérationnel faible 31 mars 2017


Télécharger ppt "Présentation de Net Report"

Présentations similaires


Annonces Google