syslog-ng store Box (ssB)

syslog-ng store Box (SSB)
Appliance de gestion des logs haute performance
Points forts
Collecte et indexation
haute performance
Avec sa solution syslog-ng Store Box™ (SSB), Balabit propose un dispositif de gestion des logs
ultra-fiable qui repose sur les points forts de syslog-ng Premium Edition. Cette solution permet
de collecter et d’indexer des données issues des logs, d’effectuer des recherches complexes,
de sécuriser les informations sensibles à l’aide de règles d’accès granulaires, de générer
des rapports de conformité, et de transférer les données vers des outils analytiques tiers.
Filtrage, analyse, réécriture
et normalisation
Recherche rapide sur
des milliards de messages
Rapports personnalisés
Intégration aisée à des outils tierce
partie via l’API REST
Transport et stockage
sécurisés par chiffrement
Contrôle granulaire des accès
Collecter et indexer les données issues
des logs, à grande vitesse
Le dispositif SSB utilise la solution syslog-ng Premium Edition comme outil
de collecte des données issues des logs. Disponibles pour plus de 50 platesformes, parmi lesquelles les distributions Linux les plus populaires, les versions
commerciales d’UNIX et Windows. Selon sa configuration, le dispositif syslog-ng
peut recueillir jusqu’à 650 000 messages par seconde.
Le moteur d’indexation du dispositif syslog-ng Store Box est optimisé pour des
performances maximales. En fonction de sa configuration, un dispositif SSB
peut collecter et indexer jusqu’à 100 000 messages par seconde pendant des
périodes prolongées. Déployé dans une configuration client-relais, un unique
dispositif SSB peut recueillir des logs provenant de plusieurs dizaines de milliers
de sources.
Rechercher, dépanner, rapporter
Avec sa fonction de recherche en texte intégral, quelques secondes suffisent
à un dispositif SSB pour retrouver des informations dans des milliards de logs
via une interface Web intuitive. Des caractères génériques (wildcards) et des
opérateurs booléens permettent d’exécuter des recherches complexes et d’aller
plus en profondeur dans les résultats. Les utilisateurs disposent ainsi d’un aperçu
rapide pour identifier les problèmes et peuvent facilement élaborer des rapports
personnalisés à partir des graphiques et statistiques créés sur l’interface de
recherche en vue de démontrer la conformité aux normes et réglementations en
vigueur — PCI-DSS, ISO 27001, Sarbannes-Oxley et HIPAA.
Filtrer et normaliser
Le dispositif SSB utilise des fonctions de filtrages flexibles basées sur le contenu
et les métadonnées des messages pour réduire le « bruit » généré dans les
environnements où le trafic est intense et segmenter les données afin d’optimiser
le résultat des recherches et les analyses.
Avec le module PatternDB™, les logs entrants peuvent être classés en temps
réel en fonction du contenu des messages ; ce module sert également à affecter
des couples nom/valeur et corréler les messages pour normaliser les logs, ce qui
permet de regrouper des formats de logs hétérogènes pour lancer des recherches
et générer des statistiques.
Les fonctions d’analyse (parsing) et de réécriture sont utilisées pour transformer
des logs basés sur des filtres ou les résultats du module PatternDB™ afin de
réduire la complexité des données issues des logs, et ainsi améliorer les
performances des recherches et des analyses.
SSB
Databases
syslog-ng
Filter
X
Network
Devices
Index
Search
Log Analysis
Y
Normalize
Store
Report
SIEM
Archive
www.balabit.com
Sécuriser les données issues des logs
Stockage différé (Store and Forward)
Les logs peuvent être transférés entre les clients syslog-ng Premium Edition et
le dispositif SSB avec cryptage TLS (Transport Layer Security) afin d’assurer
la protection des données sensibles. Le cryptage TLS permet d’authentifier
mutuellement l’hôte et le serveur au moyen de certificats X.509.
Avec le dispositif SSB, vous pouvez stocker de grandes quantités de données
issues de logs, créer des règles de conservation automatiques et sauvegarder
des données sur des serveurs distants. Le modèle SSB le plus performant peut
stocker jusqu’à 10 Téraoctets (To) de données non compressées.
L’outil LogStore de SSB stocke les données dans des fichiers binaires cryptés,
compressés et horodatés, limitant l’accès aux seules personnes autorisées.
Le dispositif SSB assure l’archivage automatique des données sur des serveurs
distants. Les données enregistrées sur un serveur distant demeurent accessibles
et consultables ; plusieurs téraoctets de pistes d’audit sont accessibles à partir
de l’interface Web du dispositif SSB. Celui-ci utilise le serveur distant en tant
que lecteur réseau par l’intermédiaire du système NFS (Network File System) ou
du protocole SMB/CIFS (Server Message Block/Common Internet File System).
Les paramètres Authentification, Authorization et Accounting assurent un
contrôle d’accès granulaire qui permet de restreindre l’accès à la configuration
du dispositif SSB et aux logs stockés sur la base des privilèges accordés aux
groupes d’utilisateurs. Le dispositif SSB peut être intégré aux bases de données
LDAP et Radius.
Dimensionnement
des licences et assistance
Le dimensionnement des licences se fait en fonction du nombre d’hôtes
source LSH (Log Source Host) qui envoient les logs au dispositif SSB et à sa
configuration matérielle. Concernant les licences, il n’existe pas de limites quant à
leur nombre ou au débit de traitement ou stockage des données, ce qui facilite la
budgétisation des projets. En faisant l’acquisition d’un dispositif SSB, vous obtenez
l’autorisation d’accéder aux fichiers d’installation binaires du module syslog-ng
Premium Edition (PE) sur plus de 50 plates-formes serveur. L’assistance dont
bénéficient les produits — support 24/7 — est disponible pour une année entière.
La souscription d’un abonnement aux services d’assistance permet de procéder à
la mise à niveau des logiciels et de remplacer les équipements matériels
Il est également possible de transférer les logs vers des outils d’analyse tiers,
ou de récupérer des données sur le dispositif SSB via son interface API REST.
L’API est accessible à l’aide du protocole RESTful via une liaison sur HTTPS, ce
qui signifie que vous pouvez utiliser n’importe quel langage de programmation
capable d’accéder à un client HTTPS RESTful pour intégrer le dispositif SSB
à votre environnement — et notamment les langages les plus courants comme
Java et Python.
Haute disponibilité
Le dispositif SSB peut être déployé dans une configuration haute disponibilité (HA).
Dans ce cas de figure, deux dispositifs SSB (un maître et un esclave) configurés
de façon identique fonctionnent simultanément. Le dispositif maître partage toutes
les données avec le nœud esclave ; si l’unité active cesse de fonctionner, l’autre
unité entre immédiatement en action, ce qui garantit l’accessibilité ininterrompue
aux serveurs. De plus, à partir de la version T4, les dispositifs SSB sont équipés
d’une alimentation redondante.
Spécifications matérielles
Produict
Unit
Redundant
PSU
Processor
Memory
Useful Capacity
RAID
IPMI
SSB T-1
1
Nonn
Intel(R) Xeon(R) X3430
@ 2.40GHz (4 cœurs)
2 x 4 GB
(DDR3)
1 TB
Logiciel
Ouies
SSB T-4
1
Ouies
Intel(R) Xeon(R) E3-1275V2
@ 3.50GHz (4 cœurs)
2 x 4 GB
(DDR3)
4 TB
LSI MegaRAID
SAS 9271-4i
Ouies
SSB T-10
2
Ouies
2 x Intel(R) Xeon(R) E5-2630V2
@ 2.6GHz (6 cœurs)
8 x 4 GB
(DDR3)
10 TB
LSI MegaRAID
SAS 9271-4i
Ouies
Dispositifs virtuels
SSB-VA
Dispositif virtuel
Pour en savoir plus sur le dispositif SSB
VMWare ESXi/ESX
Demander une évaluation
Microsoft Hyper-V
Pour être rappelé, cliquez ici
À propos de Balabit
Balabit est un éditeur européen innovant sur le marché de la sécurité informatique, un leader mondial dans le développement de la surveillance des utilisateurs à
privilège et la gestion des logs pour protéger efficacement les entreprises contre les menaces internes et externes tout en respectant les réglementations applicables
à la sécurité et à la conformité. Balabit est reconnu pour syslog-ng, son application de gestion des logs open source qui compte plus d’un million d’utilisateurs à
travers le monde.
www.balabit.com