Akab2: AS-LS

AS-LS
AkabSensor
Akab2
Log
Server
AS-LS est le système de capteur Akab2 dédié à la collecte, la gestion et
l'analyse des logs.
Akab2 est une architecture SIEM+ (Security Information Event Management), modulaire et scalaire, comprenant des
dispositifs(AkabSensor) pour la collecte, la normalisation, et la présentation des informations de sources externes
hétérogènes. Ceci fournit une vue unifiée des événements et du contexte (Connaissance de la situation) en temps
réel pour l'identification des activités suspectes et des menaces.
La quantité et la qualité du volume de données des Logs générés au sein d'une infrastructure informatique en fait une
source précieuse d'information, en se révélant essentielle non seulement pour identifier les menaces et les risques mais
aussi pour surveiller le processus de demande et l'utilisation adéquate des ressources.
L'intégration de la gestion des Logs dans le flux de données gérés par l’architecture Akab2 est important, tant en
termes de surveillance de la sécurité à la fois du point de vue de la conformité et la traçabilité des événements.
Fonctionnalité
Collection
Log Anomaly Detection (LAD)
Reduction
Les données des logs à partir de différents types
de "source" (système, application, base de
données, équipements ,...) sont recueillies au
moyen de différents types de format et de
transport. Les données sont recueillies en mode
passif, grâce à l'un des nombreux protocoles
pris en charge, ou en utilisant un agent
spécialisé non-intrusive pour les plates-formes
d'exploitation différents (Windows,Unix/Linux).
La performance de l'AS-LS assure la collecte
d'un grand nombre de sources et à haut débit.
Les Logs sont analysés en temps réel par le
LAD(pat-pend.) , un système d'analyse avancée, basée
sur des algorithmes statistiques sans
surveillance
qui,
après
une
période
d'apprentissage, permet d'identifier toutes les
anomalies
dans
le
flux
des
Logs,
indépendamment de leur taille ou leur origine.
Grâce à des processus parallèles d'agrégation,
de seuillage et de la répression, les
événements
sont
consolidés
et
réduit
l'abondance, sur la base des règles dynamiques
et personnalisables. Cela peut diminuer
considérablement la charge sur le système,
même sous un débit élevé d'événements, tout
en gardant intact le contenu informatif.
Normalisation
Les Logs sont traitées dans la transformation
d'un format commun (Akevent) ce qui les rend
homogènes, alors que les données originales
sont mappés dans une structure descriptive de
l'événement, optimisée pour la gestion et
l'analyse. Chaque attribut important (adresses
IP, l'heure, l'ID utilisateur, les processus, actions,
etc.) est extrait et structuré dans le format
Akevent. Un processus complexe de filtrage
fondé sur des règles vous permet de hiérarchiser
les événements significatifs pour l'analyse de la
sécurité. La capacité à créer de nouvelles règles
sous une forme simplifiée et guidée permet
d'étendre la bibliothèque fournie pour gérer tout
type de Log. Le processus de normalisation est
parallèle et indépendant des autres étapes de
l'analyse.
Indexation
Les événements sont indexés de différentes
manières, en fonction des attributs standard et
en mode texte-intégral. Les possibilities de
recherche sont complètes et articulées, non
seulement sur des données classées, mais aussi
sur les données brutes originales, combinant la
capacité d'extraire et data mining aux
fonctionnalités de recherche non structurée
"Google-like" sur n'importe quel contenu ou
donnée.
Classification
Les événements sont classés dans une
Taxonomie universelle qui les rend faciles à
interpreter et sémantiquement comparables (par
exemple: un événement pare-feu Cisco avec un
Fortinet/ Checkpoint / etc ...). Cela nous permet
d'apprécier
l'importance
des
événements
permettant des analyses avancées multiplateforme.
Signature numérique
Stockage
Sauvegarde
Les données sont signés numériquement avec
des algorithmes standard (SHA1/256) et
horodatées en utilisant TSA (Time Stamping
Authority) certificate, tous pour assurer
l'intégrité et l'incorruptibilité, conformément aux
dispositions des règlements plus sévères. Toute
manipulation est ensuite détectée et notifiée par
le système.
Le système de stockage utilisé met en oeuvre
une
architecture
propriétaire
à
haute
performance qui dépasse les limites des
traditionnelles DBMS. Les données sont
compressées à 90% de la taille originale pour
utiliser moins de bande passante, pour accélérer
les transferts et pour réduire l'utilisation du
stockage. L'architecture logique WORM (Write
Once Read Many) assure la pérennité des
données.
Une architecture articulée de backup conserve
les données sur le stockage hors ligne
indéfiniment (limité seulement par la capacité de
stockage).Le grand nombre de protocoles pris en
charge (SMB / CIFS, FTP, RSYNC) et la
configurabilité
complète
assurent
le
fonctionnement dans tous les scénarios
possibles. Le partitionnement temporel et le
format portable permet une gestion simple.
www.araknos.it
[email protected]
Ce contenu peut changer sans préavis. Les marques de commerce sont la propriété de leurs propriétaires respectifs. Les images sont à titre indicatif.
DS2_ASLS_FR_09.14
Akab2
AS-LS
Log Server
Deploiement
Modularité
Redondance
L'architecture distribuée de Akab2 permet un
déploiement de plusieurs capteurs Akab avec ces
avantages:
• Flexibilité en cas de réseaux complexes à
travers le pays
• Le partage du charge d’analyse / collection
• Réduction du chemin de réseau des sources
aux différents points de l'analyse / collecte
avec une diminution relative du trafic et du
risque lié à la communication des protocoles
insicures.
• Économie grâce à la taille optimale des
capteurs individuels necessaries et à l’emploi
d’un seul point de gestion e d’analyse.
Les capteurs AS-LS sont disponibles dans La sécurité du système est assurée à plusieurs
l'architecture avec une fiabilité élevée avec niveaux:
la possibilité de failover multiples (architecture 1- • Protection du materiel contre l’altération
potentielle
N). Le processus est transparent et garantit la
disponibilité
complète
du
service,
sans • Système d'exploitation (AraknOS) paramétré
interruption ni intervention manuelle. Au niveau
et protégé.
de chaque capteur on utilise du matériel • Protocoles de communication sécurisés pour
la gestion du réseau (HTTPS / SSH) et hors
redondant qui limite la possibilité des bloqueurs
bande par une liaison série (RS232)
échecs:
• Utilisation de connexions de réseau dédiés
pour
la
collecte
des
Logs
et
la
• Disques en RAID
communication/gestion avec des sondes AS
• Redondance de l'alimentation
(Akab-Sensor)
• Redondance de la mémoire
• Piste de vérification complète de l'activité
des utilisateurs dans le système.
General Specifications
Appliances
•
•
•
•
•
•
•
Réseau:
Routeur, Pare-feu, Aiguillage, RPV, ...
Sécurité:
IDS, IPS, NBAD, IDM, UTM, NAC, DAM, ...
S.O.:
Windows, Linux, Solaris, OSX, ...
•
•
•
Syslog (UDP/TCP, SSL/TLS)
•
Indexation temps réel
texte-intégrale
•
Détection d'anomalies des Logs
(DAL)
Réduction
•
•
Attachement
•
•
Base de données vertical
Stockage
Redondance
•
•
Équipements en Failover 1-N
Intégrité
•
Hashing SHA1/256
Stockage en
hors de
connexion
•
SMB/CIFS
Gestion
•
•
SSH
Sources prise en
charge
Formats
Analyses
Modèls
Base de données: MS-SQL, Oracle, MySQL, ...
Serveur:
Thresholding
Compression de données (jusqu'à
90%)
Matériel RAID
SNMP
AS-LS0
AS-LS1
AS-LS2
AS-LS3
50
100
300
800
250
1K
3K
10K
Interf. de Système
(Mgmt e Comm)
Custom logs
Windows Event Log
Source de Log
(Log Client)
Débit maximum
(LPS/EPS)
MS-IIS, Apache, MS-Exchange, SAP, ...
Applications: ERP, CRM, Groupware, ...
SDEE/RDEP
Sécurité
•
•
•
SNMP (v1/2c, v3)
•
•
Normalisation
Poids
Taxonomie universelle
Alimentation
Services Web (SOAP)
Custom formats (XML, CSV, ...)
•
Suppression
•
•
Architecture WORM
•
•
Double Alimentation
2x Gbit Eth-RJ45
Interfaces Fonctionelles
1x Gbit Eth-RJ45
Stockage
RAID1 > 500 GB
Chassis
Conditions
environnementales
EIA/Rack 1U - 19”
2x Gbit Eth-RJ45
RAID5 > 1 TB
RAID5 > 2 TB
EIA/Rack 2U - 19”
25Kg (approximatif)
35Kg (approximatif)
350W 100-240V, 50-60 Hz
700W 100-240V, 50-60 Hz
Opérationnelles
• Température: da +10° a +35°
• Humidité relative: 20%-80% sans
condensation
• Tremblements: 3-200 Hz a 0.25G
• Maximum d'impact: 31G a 2.6 m/s
• Altitude: da -16m a 3.048m
Stockage
• Températur: da -40° a +65°
• Humidité relative: 5%-95% sans
condensation
• Tremblements: 5-500 Hz a 2,2G
• Maximum d'impact: 71G a 2.6 m/s
• Altitude: da -16m a 10.600m
Haute performance
Memory mirror
•
Time Stamping
Authority (TSA)
•
FTP
•
RSYNC
•
Serial Console
RS232C
Piste de vérification
•
•
OS. AraknOS
•
Intégrité
Maintenance-free
www.araknos.it
[email protected]
Ce contenu peut changer sans préavis. Les marques de commerce sont la propriété de leurs propriétaires respectifs. Les images sont à titre indicatif.
via g. di vittorio 5
casalecchio di reno
40033 (BO) – italy
tel +39.051.0547100
fax +39.051.74145518
DS2_ASLS_FR_09.14