Version: 1.1 Dernière mise à jour: 24 mars 2012 est un composant optionnel de la solution Nexthink V4, organisé autour d une base de connaissances collaborative regroupant des investigations, des rapports, des indicateurs thématiques et des modèles de référence pour enrichir et faciliter les analyses. est un service disponible par souscription annuelle uniquement pour les clients Nexthink V4. comprend à ce jour deux services intégrés : Nexthink Application Library est d une part une base de référence servant à l identification des binaires de type malicieux («malware») grâce aux hashes MD5 des binaires remontés par le Collector et qui sont comparés avec une base de données des binaires malicieux connus. Cette base de données est constamment mise à jour et intègre les références de plus de 30 anti-virus du marché. Si la comparaison est positive, le binaire est étiqueté comme étant d un niveau de menace élevé, ce qui permet d activer des alertes de détection automatique et de mener des investigations d aide à l identification du binaire et de retrouver immédiatement les postes de travail impliqués, en vue d une éradication rapide. Nexthink Application Library permet de classer et grouper automatiquement les applications (antivirus, navigateur internet, outils de bureautique, logiciels de sécurité etc.). Cette classification est basée sur le standard ISO-19770-2. Le service fournit également une réponse sur la compatibilité des applications et des configurations matérielles avec Microsoft Windows 7, dans le but d'accélérer la préparation à une migration. Courant 2012, ce service sera enrichi d informations relatives aux applications dans le cadre de projets de virtualisation des postes de travail. Nexthink Investigation Library est une bibliothèque d investigations (requêtes) et de catégories Finder prêtes à l usage. Nexthink Investigation Library est directement accessible depuis Nexthink Finder afin de rechercher et naviguer au travers des différentes familles d Investigations disponibles. Ces investigations créées par Nexthink sont alors utilisées localement. Les investigations comprennent également des catégories et des «one-click investigations» préconfigurées. L'outil de recherche rapide (par mots clefs) intégré au Finder incorpore également les possibilités de cette bibliothèque dans la restitution des résultats Ces référentiels sont enrichis de nouveau contenu régulièrement. Les nouveautés sont mises en évidence dans le Finder et résumées sur le site Internet de Nexthink et publiées par newsletter Afin de pouvoir bénéficier du service Nexthink Application Library, il est obligatoire qu une connexion Internet fonctionnelle soit établie entre Nexthink Engine et le serveur Nexthink Library hébergé sous la responsabilité de Nexthink. Les données ne sont échangées que sur requête de l Engine. Afin de pouvoir bénéficier du service Nexthink Investigation Library, il est obligatoire que les postes de travail administrateur de Nexthink V4 et équipés de Nexthink Finder disposent d une Nexthink 2012. 1
connexion Internet fonctionnelle afin de sélectionner et télécharger les investigations disponibles dans la base de connaissances centrale. Les données ne sont échangées que sur requête de l utilisateur. L architecture de Une architecture sécurisée Afin de garantir un niveau de sécurité maximal pendant le transfert et d éviter toute fuite de données, Nexthink a conçu avec différents niveaux d encryptage et d anonymisation. Nexthink Application Library collecte les données nécessaires, envoyées par l Engine sous format anonyme en utilisant le protocole HTTPS. Les données collectées sont ensuite enrichies et renvoyées automatiquement dans l Engine d origine afin de fournir aux utilisateurs les services décrits dans ce document. Nexthink Investigation Library est en mode consultation depuis Nexthink Finder afin de pouvoir sélectionner et télécharger des modèles d investigations et de catégories qui seront exécutées localement. Nexthink 2012. 2
Que doit collecter Nexthink pour offrir les services associés à? Service fourni Données échangées Détection de binaires dangereux et leur niveau de menace Analyse compatibilité logiciels et matériel Hash, nom du produit, nom de l'éditeur, version, taille du fichier, chemin d accès Un indicatif du niveau de menace pour chaque binaire: «none detected» (non détecté), «low» (bas), «intermediate» (moyen) or «high» (élevé) Hash, nom du produit, nom de l'éditeur, version, taille du fichier, chemin d accès Executable Noms, binaires Application Noms, société «Package» (paquet) Type de «package», nom du produit, nom de l'éditeur, version, «sources» (ordinateur concerné) «Source» (ordinateur) Modèle, constructeur, RAM, modèle de CPU, fréquence et nombre, nombre de coeurs, version de l OS (Système d Exploitation), version du «Nexthink Collector» et de l «Updater» Un indicatif de faisabilité pour chaque «package» et/ou «source»: «Not ready» (pas prêt), «ready» (prêt) ou optimal Nexthink 2012. 3
Service fourni Données échangées Etiquetage automatique des logiciels par catégorie Hash, nom du produit, nom de l'éditeur, version, taille du fichier, chemin d accès Exécutable Noms, binaires Application Noms, société «Package» (paquet) Type de «package», nom du produit, nom de l'éditeur, version, «sources» (ordinateur concerné) «Source» (ordinateur) Modèle, Constructeur, RAM, modèle de CPU, fréquence et nombre, nombre de cœur, version de l OS (Système d Exploitation), version du «Nexthink Collector» et de l «Updater» Un indicatif pour chaque «package» avec le nom de la catégorie correspondante. Données reçues Investigations proposées par Nexthink (Nexthink Investigation Library) Hash (MD5) de la licence de l Engine et de la version du Finder. Un fichier XML contenant les investigations demandées. Nexthink ne collecte qu une quantité minimale de données nécessaires au bon fonctionnement des services compris dans Toutes ces données sont collectées sous forme anonyme avec impossibilité de les corréler à une société ou à ses utilisateurs. Nexthink 2012. 4
Procédure de validation et option de désactivation est un service optionnel payant auquel peuvent souscrire les clients Nexthink. Les données nécessaires au bon fonctionnement du service ne sont envoyées à Nexthink que pour les clients qui souscrivent à ce service. Nexthink Application Library Si le service a été souscrit par le client mais que ce dernier désire uniquement avoir accès à Nexthink Investigation Library, il pourra désactiver la collecte des données nécessaires au bon fonctionnement de Nexthink Application Library. Pour ce faire, il suffit de la désactiver à partir de Nexthink Console (interface d'administration Nexthink). La désactivation de l option de collecte s opère dans la section «Engine» de la Nexthink Console). La case «Application Library access» doit simplement être décochée afin de désactiver le service (Cf. ci-dessous). Informations complémentaires www.nexthink.com www.doc.nexthink.com Nexthink 2012. 5