Akab2: AS-LS
Transcription
Akab2: AS-LS
AS-LS AkabSensor Akab2 Log Server AS-LS est le système de capteur Akab2 dédié à la collecte, la gestion et l'analyse des logs. Akab2 est une architecture SIEM+ (Security Information Event Management), modulaire et scalaire, comprenant des dispositifs(AkabSensor) pour la collecte, la normalisation, et la présentation des informations de sources externes hétérogènes. Ceci fournit une vue unifiée des événements et du contexte (Connaissance de la situation) en temps réel pour l'identification des activités suspectes et des menaces. La quantité et la qualité du volume de données des Logs générés au sein d'une infrastructure informatique en fait une source précieuse d'information, en se révélant essentielle non seulement pour identifier les menaces et les risques mais aussi pour surveiller le processus de demande et l'utilisation adéquate des ressources. L'intégration de la gestion des Logs dans le flux de données gérés par l’architecture Akab2 est important, tant en termes de surveillance de la sécurité à la fois du point de vue de la conformité et la traçabilité des événements. Fonctionnalité Collection Log Anomaly Detection (LAD) Reduction Les données des logs à partir de différents types de "source" (système, application, base de données, équipements ,...) sont recueillies au moyen de différents types de format et de transport. Les données sont recueillies en mode passif, grâce à l'un des nombreux protocoles pris en charge, ou en utilisant un agent spécialisé non-intrusive pour les plates-formes d'exploitation différents (Windows,Unix/Linux). La performance de l'AS-LS assure la collecte d'un grand nombre de sources et à haut débit. Les Logs sont analysés en temps réel par le LAD(pat-pend.) , un système d'analyse avancée, basée sur des algorithmes statistiques sans surveillance qui, après une période d'apprentissage, permet d'identifier toutes les anomalies dans le flux des Logs, indépendamment de leur taille ou leur origine. Grâce à des processus parallèles d'agrégation, de seuillage et de la répression, les événements sont consolidés et réduit l'abondance, sur la base des règles dynamiques et personnalisables. Cela peut diminuer considérablement la charge sur le système, même sous un débit élevé d'événements, tout en gardant intact le contenu informatif. Normalisation Les Logs sont traitées dans la transformation d'un format commun (Akevent) ce qui les rend homogènes, alors que les données originales sont mappés dans une structure descriptive de l'événement, optimisée pour la gestion et l'analyse. Chaque attribut important (adresses IP, l'heure, l'ID utilisateur, les processus, actions, etc.) est extrait et structuré dans le format Akevent. Un processus complexe de filtrage fondé sur des règles vous permet de hiérarchiser les événements significatifs pour l'analyse de la sécurité. La capacité à créer de nouvelles règles sous une forme simplifiée et guidée permet d'étendre la bibliothèque fournie pour gérer tout type de Log. Le processus de normalisation est parallèle et indépendant des autres étapes de l'analyse. Indexation Les événements sont indexés de différentes manières, en fonction des attributs standard et en mode texte-intégral. Les possibilities de recherche sont complètes et articulées, non seulement sur des données classées, mais aussi sur les données brutes originales, combinant la capacité d'extraire et data mining aux fonctionnalités de recherche non structurée "Google-like" sur n'importe quel contenu ou donnée. Classification Les événements sont classés dans une Taxonomie universelle qui les rend faciles à interpreter et sémantiquement comparables (par exemple: un événement pare-feu Cisco avec un Fortinet/ Checkpoint / etc ...). Cela nous permet d'apprécier l'importance des événements permettant des analyses avancées multiplateforme. Signature numérique Stockage Sauvegarde Les données sont signés numériquement avec des algorithmes standard (SHA1/256) et horodatées en utilisant TSA (Time Stamping Authority) certificate, tous pour assurer l'intégrité et l'incorruptibilité, conformément aux dispositions des règlements plus sévères. Toute manipulation est ensuite détectée et notifiée par le système. Le système de stockage utilisé met en oeuvre une architecture propriétaire à haute performance qui dépasse les limites des traditionnelles DBMS. Les données sont compressées à 90% de la taille originale pour utiliser moins de bande passante, pour accélérer les transferts et pour réduire l'utilisation du stockage. L'architecture logique WORM (Write Once Read Many) assure la pérennité des données. Une architecture articulée de backup conserve les données sur le stockage hors ligne indéfiniment (limité seulement par la capacité de stockage).Le grand nombre de protocoles pris en charge (SMB / CIFS, FTP, RSYNC) et la configurabilité complète assurent le fonctionnement dans tous les scénarios possibles. Le partitionnement temporel et le format portable permet une gestion simple. www.araknos.it [email protected] Ce contenu peut changer sans préavis. Les marques de commerce sont la propriété de leurs propriétaires respectifs. Les images sont à titre indicatif. DS2_ASLS_FR_09.14 Akab2 AS-LS Log Server Deploiement Modularité Redondance L'architecture distribuée de Akab2 permet un déploiement de plusieurs capteurs Akab avec ces avantages: • Flexibilité en cas de réseaux complexes à travers le pays • Le partage du charge d’analyse / collection • Réduction du chemin de réseau des sources aux différents points de l'analyse / collecte avec une diminution relative du trafic et du risque lié à la communication des protocoles insicures. • Économie grâce à la taille optimale des capteurs individuels necessaries et à l’emploi d’un seul point de gestion e d’analyse. Les capteurs AS-LS sont disponibles dans La sécurité du système est assurée à plusieurs l'architecture avec une fiabilité élevée avec niveaux: la possibilité de failover multiples (architecture 1- • Protection du materiel contre l’altération potentielle N). Le processus est transparent et garantit la disponibilité complète du service, sans • Système d'exploitation (AraknOS) paramétré interruption ni intervention manuelle. Au niveau et protégé. de chaque capteur on utilise du matériel • Protocoles de communication sécurisés pour la gestion du réseau (HTTPS / SSH) et hors redondant qui limite la possibilité des bloqueurs bande par une liaison série (RS232) échecs: • Utilisation de connexions de réseau dédiés pour la collecte des Logs et la • Disques en RAID communication/gestion avec des sondes AS • Redondance de l'alimentation (Akab-Sensor) • Redondance de la mémoire • Piste de vérification complète de l'activité des utilisateurs dans le système. General Specifications Appliances • • • • • • • Réseau: Routeur, Pare-feu, Aiguillage, RPV, ... Sécurité: IDS, IPS, NBAD, IDM, UTM, NAC, DAM, ... S.O.: Windows, Linux, Solaris, OSX, ... • • • Syslog (UDP/TCP, SSL/TLS) • Indexation temps réel texte-intégrale • Détection d'anomalies des Logs (DAL) Réduction • • Attachement • • Base de données vertical Stockage Redondance • • Équipements en Failover 1-N Intégrité • Hashing SHA1/256 Stockage en hors de connexion • SMB/CIFS Gestion • • SSH Sources prise en charge Formats Analyses Modèls Base de données: MS-SQL, Oracle, MySQL, ... Serveur: Thresholding Compression de données (jusqu'à 90%) Matériel RAID SNMP AS-LS0 AS-LS1 AS-LS2 AS-LS3 50 100 300 800 250 1K 3K 10K Interf. de Système (Mgmt e Comm) Custom logs Windows Event Log Source de Log (Log Client) Débit maximum (LPS/EPS) MS-IIS, Apache, MS-Exchange, SAP, ... Applications: ERP, CRM, Groupware, ... SDEE/RDEP Sécurité • • • SNMP (v1/2c, v3) • • Normalisation Poids Taxonomie universelle Alimentation Services Web (SOAP) Custom formats (XML, CSV, ...) • Suppression • • Architecture WORM • • Double Alimentation 2x Gbit Eth-RJ45 Interfaces Fonctionelles 1x Gbit Eth-RJ45 Stockage RAID1 > 500 GB Chassis Conditions environnementales EIA/Rack 1U - 19” 2x Gbit Eth-RJ45 RAID5 > 1 TB RAID5 > 2 TB EIA/Rack 2U - 19” 25Kg (approximatif) 35Kg (approximatif) 350W 100-240V, 50-60 Hz 700W 100-240V, 50-60 Hz Opérationnelles • Température: da +10° a +35° • Humidité relative: 20%-80% sans condensation • Tremblements: 3-200 Hz a 0.25G • Maximum d'impact: 31G a 2.6 m/s • Altitude: da -16m a 3.048m Stockage • Températur: da -40° a +65° • Humidité relative: 5%-95% sans condensation • Tremblements: 5-500 Hz a 2,2G • Maximum d'impact: 71G a 2.6 m/s • Altitude: da -16m a 10.600m Haute performance Memory mirror • Time Stamping Authority (TSA) • FTP • RSYNC • Serial Console RS232C Piste de vérification • • OS. AraknOS • Intégrité Maintenance-free www.araknos.it [email protected] Ce contenu peut changer sans préavis. Les marques de commerce sont la propriété de leurs propriétaires respectifs. Les images sont à titre indicatif. via g. di vittorio 5 casalecchio di reno 40033 (BO) – italy tel +39.051.0547100 fax +39.051.74145518 DS2_ASLS_FR_09.14