Livre Blanc Net Report Real Security Log Management! Deuxième trimestre 2006 1
Synthèse Les enjeux de la sécurité dépassent le contexte du département informatique et trouvent leur véritable place au centre de la stratégie de l entreprise. Les solutions logicielles d analyse de logs proposent des outils couvrant le cycle complet de la gestion d incidents : prévenir, détecter, confiner, enquêter, corriger et reporter. Au-delà de la corrélation d alarmes, la gestion opérationnelle des logs de sécurité doit aussi permettre de garantir l utilisation légitime des ressources de l entreprise pour assurer la qualité de service et la conformité réglementaire. Net Report offre de véritables solutions de gestion de log de sécurité et aide les entreprises à réussir les Audit IT dans le contexte d une démarche de conformité avec des réglementations internationales. 2
Table des matières 1: Les solutions d exploitation de logs?...4 2: La solution d exploitation de logs Net Report...6 3: Net Report : quatre fonctions clefs...7 4: Architecture...9 5: Périphériques supportés...11 6: Fonctionnalités principales...12 7: Configuration requise...22 8: Conclusion...23 9: Comment avancer avec Net Report...23 3
1: Les solutions d exploitation de logs? Les solutions d exploitation de logs permettent d automatiser la collecte, la consolidation des évènements de différents types d équipements. En outre ces logiciels garantissent l archivage au format brut des données et permettent de transformer les données collectées en de véritables indicateurs décisionnels. Des fonctions avancées de corrélation et d alerting vous garantissent également une pro activité sur vos systèmes d information. Les évènements de sécurité sont collectés, consolidés, normalisés et archivés. Dans de nombreux cas, ces évènements peuvent être utilisés dans le cas d investigation, enquêtes ou pour comprendre certains types d incidents ou tendances à travers des tableaux de bords synthétiques. L exploitation de logs participe et optimise de manière essentielle votre Gestion de Risque (Risk Management) et permet de valider et contrôler la politique de sécurité de l entreprise. 1.1. Sécurité de gestion de logs L objectif de la sécurité dans la gestion de logs est de fournir les trois garanties suivantes : Confidentialité La garantie et la prévention que l information n est pas divulguée à des entités ou à des procédures nonautorisées. Les données sensibles de votre entreprise sont archivées, vos logs sont préservés, analysés, corrélés et reportés pour vous assurer que seulement les personnes ou les organisations autorisées entrent en contact vos logs. Intégrité La garantie que le contenu et / ou la source d une information est fiable, n est pas altérée. Cette garantie inclut la prévention de la modification de l information sans autorisation. Disponibilité La garantie que les personnes autorisées puissent accéder à une ressource et l utiliser dans un délai cohérent. Cette garantie assure que les informations et d autres ressources système sont accessible selon les besoins et sans retard. Aujourd hui, la sécurité est transversale dans une entreprise et le PDG et le Directeur Financier sont responsables concernant les violations de la sécurité. Le Directeur Information est une personne clef dans l équipe de gestion de la conformité. Selon la norme ISO/IEC 17799 c est la Direction Générale qui, au travers d un engagement clair, défini et soutient l orientation de la politique de sécurité. Force est de constater que l arrivée des nouvelles réglementations reflète bien l envergure nouvelle de la sécurité. 1.2. Le défi des réglementations Une gestion de logs complète est critique si votre organisation doit respecter des lois ou des réglementations qui incluent des exigences en ce qui concerne les «Contrôles Internes». Les Audits cherchent à assurer qu il n y a pas eu de violations de la politique de sécurité, que l information est archivée, analysée et divulguée selon la politique de sécurité. Suite aux inquiétudes en ce qui concerne l intégrité des données des entreprises, des nouvelles réglementations ont vu le jour, ces dernières renforcent le besoin pour des mécanismes de contrôle interne de plus en plus fiable. Aux Etats-Unis, la loi Sarbanes-Oxley précise que la direction est responsable pour l établissement des systèmes de contrôle interne et des procédures de la gestion des records rigoureux. La loi Sarbanes-Oxley s impose aux sociétés cotées en bourse aux Etats-Unis. Cette évolution ne se limite pas aux Etats-Unis, nous avons été témoin de la multiplication des réglementations en Europe qui exigent des contrôles internes rigoureux, par exemple : Bâle II, la Loi sur la Sécurité Financière (France), le Code Tabaksblat (Pays Bas) Les cadres référentiels et des normes liés à ces réglementations incluent : COSO, COBIT et ISO/IEC 17799. Parmi les défis présentés par ces réglementations, les cadres référentiels traitent en détail les besoins cidessous : 4
Comment introduire de meilleurs mécanismes de contrôle interne? Comment définir «Qui a accès à quoi? «Comment faire du reporting sur les permissions d accès actuelles selon les besoins? Comment déterminer quand les permissions été octroyées et quand elles ont été révoquées? Comment suivre l évolution des permissions d accès? Comment être en conformité et réduire ses coûts? 5
2: La solution d exploitation de logs Net Report Net Report permet d adresser les challenges suivants : Offrir une conformité avec les réglementations internationales. Optimiser la gestion des risques en restant informé et en répondant en temps réel aux menaces. Elever le niveau global de votre sécurité grâce à la gestion des événements de sécurité. Nos solutions doivent répondre à la globalité de vos problématiques d exploitation de logs, à savoir : Centralisation et archivage de vos logs Afin de satisfaire aux contraintes légales de rétention des logs et d offrir un moyen simple pour répondre aux besoins de vos auditeurs ainsi qu aux besoins réglementaires. Une fois collectées aux formats bruts ces données doivent être archivées dans le cas d une utilisation ultérieure. Les informations sont également insérées dans une base de données pour la génération de tableaux de bord ou des besoins d enquêtes. Reporting Fourniture de tableaux de bord par familles d équipements avec des informations adaptées aux différents interlocuteurs au sein de l entreprise. Ces tableaux de bord doivent offrir à la fois une vue synthétique ainsi qu une vue détaillée si nécessaire. Ces données sont mises à jour de manière journalière. Corrélation & Alerting Différents mécanismes de corrélation et d alerting doivent vous permettre de mettre en évidence en temps réel les alertes ou incohérences grâce à la Console d Alertes et de Corrélation. Analyse a Posteriori ou Post-Mortem Les outils doivent vous permettre d investiguer et de manipuler les données afin de trouver les causes de disfonctionnements ou attaques. Ces outils doivent en outre vous permettre de filtrer les données. Net Report transforme d importants volumes de données disparates en des indicateurs décisionnels! 6
3: Net Report : quatre fonctions clefs Quatre- fonctionnalités clefs vous permettent de répondre à ces challenges: Centralisation et Archivage de vos logs Net Report collecte en temps réel et de manière continue si nécessaire l ensemble de vos logs. Ces logs sont stockés au format brut pour les contraintes réglementaires, archivés ainsi qu insérés dans une base de données pour la génération de tableaux de bord et l investigation. Reporting en temps réel et tableaux de bord Net Report fournit des tableaux de bord décisionnels permettant d avoir une vision globale de l infrastructure de l entreprise en temps réel ce qui permet d utiliser un outil d analyse unique pour tous vos équipements. Corrélation & Remontées d alertes en temps réel Net Report permet de corréler, identifier les vulnérabilités et de remonter en temps réel des alertes pertinentes afin d aider vos équipes IT et d affecter un niveau de criticité aux alertes grâce à la Console d Alertes et de Corrélation. Analyse à Posteriori (Forensic Investigation) Net Report inclut en standard dans ses logiciels des fonctionnalités avancées d analyse à posteriori et de traçabilité des évènements afin d identifier et de mettre en avant les disfonctionnements. Les données archivées peuvent également être rejouées dans le système Net Report pour des investigations dans le temps plus poussées. 7
3.1. Cycle d un Log Les différentes solutions proposées par Net Report permettent d accompagner le cycle d un log. 3.2. Nos 3 produits principaux Net Report Log Analyser Centralisant l ensemble des évènements en un point unique, Net Report Log Analyser fournit des tableaux de bord décisionnels sur vos différents équipements. Ces tableaux de bord peuvent être générés en temps réel ou planifiés à partir d un portail Web. Net Report Monitoring Center Net Report Monitoring Center couvre tous vos besoins en terme d exploitation de logs : Tableaux de bord Alertes et alarmes préconfigurées : réponses automatiques sur activités suspicieuses Transforme vos données brutes en véritables indicateurs décisionnels. Stockage des données au format brut. Mise en conformité avec les réglementations internationales (Sarbanes-Oxley, Bale II, HIPAA, LSF ) Net Report Monitoring Center inclut la Console d Alertes et de Corrélation et Net Report Log Analyser. Net Report Tool Kit Net Report Tool Kit, véritable requêteur de base de données, permet de modifier vos rapports existants ou de créer de nouveaux tableaux de bord ainsi que d adapter la charte graphique pour correspondre à votre image. Net Report Tool Kit est toujours vendu en option de Net Report Log Analyser ou Net Report Monitoring Center. 3.3. Avantages clefs Les 3 logiciels proposés par Net report vous permettent : D automatiser la collecte, l archivage, l alerting ainsi que la génération de tableaux de bord. Réduire les vulnérabilités de votre systèmes d information. Analyser les menaces Réduire les risques. L essentiel... les solutions de Net Report protègent votre entreprise! 8
4: Architecture Regardons de plus près l architecture des solutions Net Report Etape 1: Collecte des logs o A partir de périphériques hétérogènes Net Report supporte les principales catégories d équipements du marché : Firewall, Proxy, Serveurs, IPS (Intrusion Prevention System), IDS (Intrusion Detection System), Serveur E-mail, Serveur d Authentification, Passerelle Anti-Virus, Serveur Web. o A partir de différents format de logs / média Les données peuvent être collectées soit en Syslog*, à partir de fichier Flat File ou à travers certains protocoles propriétaires tels que CheckPoint LEA, Windows WMI ou Radius. Les logs en fonction des médias peuvent être collectées en temps réel ou en temps différé. * Net Report est lui-même serveur Syslog Etape 2: Archivage Les données sont collectées et stockées en format brut à travers le module Net Report Log Archive afin d assurer l intégrité des données dans le temps. Les fichiers de données brutes sont signés, compressés et chiffrés avant d être archivés. Etape 3: Filtrage et Enrichissement des données Le moteur Net Report ULA (Universal Log Analyser) analyse, normalise, filtre les données en temps réél. Les données peuvent être enrichies en temps réel par des informations contenues dans des sources externes (RDNS, Annuaire LDAP, Table SQL, dictionnaires) afin d en améliorer la lisibilité. Chaque moteur Net Report permet d insérer dans la base de données plusieurs dizaines de millions d évènements par jour. 9
Etape 4: Base de données Net Report agrège, consolide et purge les données dans la base de données de manière automatique. Ces actions planifiées permettent de réduire de manière considérable le volume dans les bases de données (Coefficient de 25 pour les équipements de type proxy ou Firewalls) Etape 5: Génération de tableaux de bord La génération des tableaux de bord peut être automatisée et planifiée dans le temps (tâche journalière, hebdomadaire ou mensuelle) Les tableaux de bord peuvent également être générés en temps réel. Des fonctions avancées de Drill-Drown permettent une navigation intuitive et offrent la possibilité d aller rapidement aux informations de détails. Etape 6: Customisation des Rapports Notre tool kit (rapports) vous permet de créer vos rapports spécifiques et de personnaliser le look & feel de vos tableaux de bord. Etape 7: Corrélation et Alerting Des fonctions avancées de corrélation et d alerting vous permettent de détecter en temps réel les attaques et d identifier les vulnérabilités. Net Report remonte en temps réel les alertes à vos équipes techniques via e-mail, Trap SNMP ou sur notre propre console (Q2 2006) dans le but d isoler et de résoudre rapidement les problèmes potentiels. La Console d Alertes et de Corrélation permet de plus de gérer le niveau des alertes, de les filtrer ou de les acquitter. 4.1. L offre Net Report en contexte Le diagramme ci dessous illustre les parties propres à chacun de nos 3 produits : Net Report Log Analyser, Net Report Monitoring Center* et Net Report Tool Kit dans une architecture: * Net Report Monitoring center inclut Net Report Log Analyser Configuration intuitive à travers d un assistant de Configuration La suite de produits Net Report bénéficie d un assistant de configuration qui permet de simplifier l installation des périphériques en renseignant de manière guidée les informations propres à la base de données, aux RDNS locaux, au serveur de mail, aux procédures d agrégation, purge, et archivage des données. La console de Management Net Report est automatiquement configurée avec les informations appropriées. Intuitive Administration via Net Report Management Console La console de Management Net Report permet une configuration avancée des Agents, filtres et Parseurs. Les alertes, règles et champs peuvent être configurés également à ce niveau là. 10
5: Périphériques supportés Report supporte par défaut plus de 70 Types d équipements. Le support d un nouvel équipement est aisé, ainsi Net Report fournit en standard 2 parseurs génériques Flat File et Syslog (basés sur les expressions régulières) qui vous permettent de réaliser vos propres Plug In. N hésitez pas à nous contacter si certains équipements ne sont pas présent dans la liste ci-dessous : En résumé, Net Report supporte par défaut les catégories et équipements suivants: Firewalls : Arkoon Network Security, Check Point Firewall-1, Cisco PIX 500 Series, Cisco Catalyst, Cisco ASA 5000 Series, Clavister SG Series, Fortinet Fortigate, Juniper Networks NetScreen, NETASQ, netfilter (ipchains), netfilter (iptables), SonicWall, Symantec Gateway Security, Symantec Raptor, WatchGuard etc Serveur Proxy : Blue Coat Security Gateway, Microsoft ISA Server W3C & Native, NetApp, Novell Border Manager, Squid. Serveur Web : Apache, IBM Lotus Domino, Microsoft IIS etc Sonde de détection d intrusion : Fortinet Fortigate, ISS Proventia, Radware Defense Pro, Snort etc Microsoft (WMI) : Microsoft Windows Management Instrumentation Filtragre d URL : Olfeo Serveur d authentification : ActivCard, Cisco Secure, RSA Security etc E-mail Gateway : Microsoft Exchange 5.5, 2000, 2003, Postfix, Sendmail etc E-mail Content Filtering : Aladdin esafe, MimeSweeper, TrendMicro IMSS for Windows, Trend Micro IMSS for Linux. Autres : Trend Micro IWSS, Fortinet Anti-virus, Systems (Linux, Unix)*, Databases (Oracle). *: sur demande (non livré en standard) adaptation via le Net Report Generic Parser. Notes : Vous pouvez aussi utiliser le Net Report Tool Kit afin de créer sur mesure vos rapports. 11
6: Fonctionnalités principales 6.1. Centralisation de logs et Archivage Le module Net Report Log Archive* vous permet de stocker de manière sécurisée tous les logs au format bruts ou CSV de l ensemble de vos équipements sur une période illimitée. Net Report archive les différents format de logs: Syslog. Fichiers à plat. LEA (Check Point). Microsoft WMI. Radius. Ou toute autre API propriétaire. *Le module Net Report Log Archive est partie intégrante de Net Report Monitoring Center. Net Report Log Archive est constitué de 2 composants : Log Storage et Log Vault. Le composant Log Storage génère les logs au format fichier à plat ou CVS enrichi, ces fichiers sont stockés par défaut dans le répertoire log storage. Le composant Log Vault permet de signer (SHA-1), compresser (ZIP) et chiffrer les fichiers de logs (AES) avant de les archiver pour répondre aux règlementations internationales. Les fichiers peuvent être organisés par type ou groupe d équipements et/ou par date. Le taux de compression est de 90%. Les logs peuvent être par la suite rejoués si nécessaire à n importe quel moment, juste en extrayant une copie du répertoire Log Vault. Points Clefs Archivage sécurisé au format brut des évènements logs (dans un état non altéré et non modifié) Compression et signature des fichiers de logs par jour et/ou par périphériques pour les besoins réglementaires, légaux et d audit interne ou externe. Analyse Post-mortem à partir des fichiers de logs archivés Archivage et organisation des fichiers de logs par Date/Source/Taille et Type de périphériques Centralisation en 1 point central de l ensemble des informations /logs de l entreprise. 12
Bénéfices Clefs Grace au module Net Report Log Archive vous répondez ainsi aux différents challenges tels que : Conserver des preuves légales. Assurer la confidentialité, l intégrité et la disponibilité de vos données. Permettre les enquêtes et investigations. Assurer la mise en conformité. 13
6.2. Génération tableaux de bord & Reporting Net Report interprète et présente des informations holistiques, catégorisées dans un format clair. Chaque tableau de bord peut être facilement adapté à vos besoins. Les tableaux de bords sont générés selon les paramètres que vous sélectionnez à travers le portail web de Net Report «Net Report Web Portal». La navigation à l intérieur des tableaux de bord est très intuitive, les hyperliens vous conduisent vers les informations de plus en plus détaillées, ainsi vous bénéficiez des fonctionnalités de drill-down avancées. Le planificateur de tâches de Net Report le «Net Report Task Scheduler» vous permet de définir et de planifier la génération des tableaux de bord et leur envoi par email aux personnes clefs. Net Report fournit environ 200 rapports par défaut dans les catégories d équipements suivantes : 14
Exemples des tableaux de bords prédéfinis de Net Report Net Report offre une gamme importante de tableaux de bords prédéfinis par défaut, veuillez trouver quelques exemples ci-dessous (veuillez noter que cette liste n est pas exhaustive) : Tableau de bord Firewall/VPN Informations sur les services. Informations sur le trafic. Les règles du pare-feu les plus utilisées. Bande passante pour les n premiers utilisateurs. Connexions par jour / par heure. Sources d adresses par status Tableau de bord Proxy Domaines les plus visités par visites. Les premiers n utilisateurs / adresses IP par Hits. Les premiers n utilisateurs / adresses IP par durée de session. Statistiques sur le status de proxy, les types de fichiers, les moteurs de recherches, les mots clefs Le pays, l OS, le navigateur le plus visité Tableau de bord détection d intrusion Les premiers n messages triés par Hits. Destination d alerte par niveau. Source d attaque par niveau. Messages d alertes par source. Messages d alertes par destination. Les premières n attaques Tableau de bord des statistiques de site web Les informations générales sur le status des pages web. Les sources les plus actives triées par visite. Les Hits par mois, par jour du mois, par heure Les visites par mois, par jour du mois, par heure Les informations sur les moteurs de recherches. Les informations sur les référés. Les informations sur les navigateurs. Les informations sur les pays Tableau de bord du filtrage du contenu Les informations générales sur les virus. Les virus reçus et envoyés par jour. Les information générales sur les emails. Les virus entrants pour les adresses internes. Les virus sortants pour les expéditeurs internes. Volume d emails entrants par serveur POP. Volume d emails sortants par serveur SMTP Tableau de bord des statistiques email Les statistiques générales, trafic email par heure / par jour. Les statistiques d adresses email. Les utilisateurs d email les plus actifs. Les flux des messages email, entrants, internes et sortants. Les statistiques email. Le premier expéditeur externe / entreprise destinataire. Nombre total d emails chiffrés Tableau de bord des statistiques systèmes Le trafic WMI filtré, activité par heure / par jour. Activité des logs pour les premiers n utilisateurs. Les premiers logons réussis / échoués et les premiers log offs réussis par utilisateur. Log de sécurité, événement de sécurité de système, activité d usage des privilèges. Activité de gestion du compte de sécurité. Statistiques d accès aux fichiers et aux répertoires par utilisateur.. Types d évènements du jour 15
Un accès rapide aux Tableaux de Bords grâce au Net Report Web Portal Net Report offre un portail web sécurisé pour faciliter la consultation de vos rapports ou pour générer des rapports en temps réel. Selon le profil d utilisateur, Net Report vous fournit un rapport prédéfini qui grâce à la sélection multicritères vous permet de générer des rapports selon vos besoins. Cette fonctionnalité dynamique de requête en temps réel vous permet d analyser et générer des rapports selon des critères précis. Planifier la génération de vos tableaux de bords grâce au Net Report Task Scheduler Net Report vous permet de facilement planifier la génération de vos tableaux de bords au travers le Net Report Web Portal. Le Net Report Task Scheduler rend la génération des rapports statiques simple et efficace. Le Net Report Task Scheduler vous permet de : Définir vos paramètres selon le type de rapport. Sélectionner le format de sortie de vos rapports (Adobe Acrobat PDF). Définir la disponibilité de vos rapports. Créer un liste de distribution d email pour envoyer les rapports par email en pièce jointe. Choisir la fréquence de la génération de vos rapports. De plus, Net Report Web Portal vous permet de bénéficier d un système de gestion des profils d utilisateurs et ainsi vous permet de définir les utilisateurs qui sont autorisés à planifier ou consulter des rapports. 16
6.3. La corrélation d évènements et l alerting Net Report fournit plus d une centaine d alertes et d exemples de corrélation par défaut. Nous vous offrons des alertes simples et multi-équipements par défaut. Les alertes sont envoyées sur une console d alerte web ou par email, par Trap SNMP et/ou par Syslog. La Console web vous permet de facilement gérer les alertes en temps réel. Les administrateurs peuvent facilement utiliser la fonction avancée pour créer des alertes et des actions personnalisées. Net Report corrèle les évènements d une gamme importante d équipements réseaux pour faciliter la prise des décisions et garantir un niveau élevé de sécurité. Net Report offre un moyen simple de définir certaines constantes d évènements, de règles et des actions liées afin de simplifier le monitoring des évènements réseaux. Net Report offre quatre moyens de corréler des évènements de sécurité des équipements divers pour identifier des incidents de sécurité et le déclenchement des alertes : 1. Déclencher une alerte quand les modèles / les conditions / les relations prédéfinis sont atteints / satisfaits. 2. Déclencher une alerte quand un seuil est atteint avec un timeout de session prédéfini (Compteur de mémoire). 3. Déclencher une alerte si une des actions ci-dessus est identifiée, et corrélée avec des données dans la base de données, ou dans un dictionnaire. 4. Déclencher une alerte quand le résultat d une requête dans la base de données atteint certains des critères définies dans la règle. Cette requête peut être planifier. Ce moyen facilite l analyse sur les périodes étendues, par exemple pour les scans de ports. Les avantages de la corrélation des évènements sont nombreux. La corrélation vous permet d augmenter l efficacité de votre équipe informatique, elle vous permet d optimiser votre «Business Continuity» et d empêcher la perte du revenu à cause de «downtime». Net Report collecte, archive et analyse des volumes de données importantes. Ces données doivent être analysées en temps réel et elles sont utiles dans plusieurs scenarios de sécurité. Selon le jeu d actions prédéfini, plusieurs types d alertes ou de tâches peuvent être exécutées : Afficher l alertes sur notre Console d Alertes et de Corrélation. Ecrire dans la base de données. Envoyer un email. Générer un Trap SNMP. Lancer un script. La Console d Alerte et de Corrélation permet de gérer le niveau de priorité des alertes, d acquitter les alertes avec des commentaires pour une meilleure traçabilité. 17
6.4. Console d Alertes et de Corrélation (Alerting & Correlation Console) Net Report fournit une Console d Alertes et de Corrélation (Alerting & Correlation Console) pour le filtrage et la gestion avancée des alertes. La console est multi-utilisateurs avec la gestion sécurisée des profils d utilisateurs. Les quatre onglets Alert Summary, Information, Resolved et Search permettent à votre équipe informatique de rapidement identifier, isoler, filtrer et mitiger des menaces. Alert Summary: affiche les alertes qui doivent être prises en compte ou qui sont en cours de traitement. Les alertes peuvent être gérées facilement en cliquant sur les icônes «To be Acknowledged» ou «In Progress» dan la colonne Status. Information: affiche les alertes informationnelles. Resolved: affiche les alertes qui sont traitées et résolues. Search: affiche toutes les alertes, vous pouvez filtrer les alertes en cliquant sur les icônes ou les hyperliens. Par exemple, filtrer des évènements pour une adresse IP. La Console vous permet d afficher jusqu à seize champs : Date d Alerte, Date de résolution / en cours, Niveau, Risque, Type, Application, Equipements, Source, Destination, Nombre, ID d évènement, Description, Dépendance, Dernier commentaire, Compagnie, Dernier utilisateur. Une interface ergonomique avec une charte graphique intuitive met l accent sur la priorité des alertes et les dates de résolution des alertes. Les hyperliens vous permettent de naviguer entre les onglets et d accéder en ligne aux informations qui concernent l alerte. La console centralise et gère le statut de vos alertes agrégées à travers les onglets Management, History et Extra Information : Management : cet onglet vous permet de consulter les détails qui concernent l alerte agrégée et le statut de l alerte. Vous pouvez facilement modifier le statut, la date de résolution et la priorité puis éventuellement transférer l alerte par SNMP, email ou syslog. History : cet onglet vous permet de tracer la mitigation des alertes par profil d utilisateur et de suivre l historique de la gestion de chaque alerte avec les dates, les profils d utilisateur et des commentaires. Extra Information : contient des informations additionnelles, affichées selon les paramètres sélectionnés. La possibilité de générer des cubes OLAP journaliers, hebdomadaires et mensuels pour une source IP et une destination IP. 18
Panneau de configuration avancé Le panneau de Configuration de la Console d Alertes et de Corrélation vous permet de gérer les profils d utilisateurs, les règles de filtrage ainsi que l affichage des colonnes en temps-réel. Column Display: permet à l utilisateur de sélectionner les colonnes qu il souhaite afficher dans la Console d Alertes et de Corrélation. Filtering Rules: permet à l utilisateur d ajouter et de modifier des règles de filtrage selon les critères définis. User Profiles: permet à l administrateur de définir, modifier et supprimer les profils d utilisateurs et d assigner des permissions. 19
6.5. Analyse forensic et manipulation des données Net Report vous permet de stocker vos données et ainsi de préserver un Audit Trail et d effectuer une analyse en profondeur sur ces données. Un Audit Trail est un jeu de logs et de records préservé en ordre chronologique qui est utilisé afin de fournir des preuves lors d un incident. Ces logs et records peuvent être utilisés à posteriori afin de détecter et identifier des malversations. Net Report propose les moyens ci-dessous pour effectuer des recherches avancées, de traçabilité et d analyse forensic : Tables croisées / Cubes qui permettent la manipulation multi-équipements et multicritères des données en temps réel et qui peuvent être utiliser à travers Excel. Rapports de traçabilité multi-équipements, multi-sources sur l activité d une adresse IP sur une période prédéfinie, qui tracent les évènements à posteriori. - Date - Origine - Action - Source IP - Destination IP - - Règle/Attaque/Résultats - Source Area - Destination Area 20
Générateur de Rapports Net Report Tool Kit : pour la génération des rapports personnalisés. Net Report Tool Kit vous permet de créer des rapports spécifiques, personnalisés pour l image de votre entreprise et selon vos besoins. Net Report Tool Kit vous permet de modifier les rapports prédéfinis que vous pouvez consulter également en ligne à travers le Net Report Web Portal. De plus le Net Report Tool Kit vous permet de créer des rapports «from scratch» pour tous vous besoins de Business Intelligence. Cela vous permet de répondre aux besoins de chaque département de votre entreprise. 21
7: Configuration requise 7.1. Configuration requise pour Net Report Log Analyser et Monitoring Center Console d administration Windows XP Professional (SP2) Windows 2000 (SP4) Windows 2003 (SP1) Internet Explorer 6.0 (SP1 Minimum) Reporting Engine Windows XP Professional (SP2) (pour des tests seulement) Windows 2000 (SP4) Windows 2003 (SP1) Microsoft SQL Server 2000 (SP4) Microsoft SQL Server 2005 (SP1) ORACLE 8.1.7, 9i et 10g Internet Explorer 6.0 (SP1 Minimum) Serveur Web Microsoft Internet Information Server (selon la version de Windows) Adobe Acrobat Reader (6.0.1 Minimum) Internet Explorer 6.0 (SP1 Minimum) 22
8: Conclusion Réussissez avec Net Report à : Rapidement identifier les menaces et à respecter les règlementations telles que Sarbanes-Oxley avec la consolidation centralisée des logs et des évènements dans une architecture centralisée ou distribuée. Améliorer la disponibilité du système et l assurance de qualité de service et protéger la propriété intellectuelle avec la détection des intrusions en temps-réel. Identifier des véritables incidents et éviter les pertes de temps et de ressources en traitant des faux positifs et bénéficiez ainsi des informations clefs en temps réel sur la sécurité de votre entreprise. Pourquoi nos clients choisissent Net Report : Centraliser des logs de tout équipement du réseau.. Transformer vos données brutes en indicateurs décisionnels Réduire le coût de la sécurité grâce à l automatisation Générer de la valeur ajoutée à vos investissements. Comprendre l activité par Utilisateur et Département. Optimiser la planification de la capacité réseau. Améliorer la réponse de l IT, état des lieux de votre sécurité. Identifier les attaques par Source et Type. Réduire le Business Risk en répondant en temps réel aux incidents de sécurité. Permettre la mise en conformité avec les Réglementations internationales. Net Report propose une solution complète et intégrée, qui permet à la fois : La centralisation et l archivage au format brut de vos logs. La fourniture de tableaux de bords sur la majorité de vos équipements La remontée temps réel d alertes corrélées. L analyse forensic et la manipulation des données. Net Report permet votre équipe IT de découvrir, détecter et empêcher des activités intrusives et de fournir des tableaux de bords en temps réel pour toutes les personnes clefs de votre entreprise. 9: Comment avancer avec Net Report Net Report a été fondée en 2001, et depuis nous répondons aux besoins de nos clients en ce qui concerne : La centralisation et archivage au format brut de vos logs. la fourniture de tableaux de bords sur la majorité de vos équipements La remontée d alertes corrélées. L analyse forensic et la manipulation des données. Si vous souhaitez un complément d information sur les solutions de Net Report, veuillez visiter notre site web : www.net-report.net où vous trouverez des fiches produits, des présentations de l entreprise, et la version d évaluation à télécharger. Si vous souhaitez effectuer une démonstration en ligne, veuillez contacter notre équipe commerciale : sales@netreport.fr Net Report SAS au capital de 150 000 Euros R.C.S. 432 197 069 N TVA FR 7643219706900029 23
Contactez Net Report Siège de Net Report :. Tél : +33 467 844 800 Fax : +33 467 844 811 Email : sales@netreport.fr Adresse : 130 Rue Baptistou, ZAE Nord, 34980 Saint Gély du Fesc, France 24