syslog-ng store Box (ssB)
Transcription
syslog-ng store Box (ssB)
syslog-ng store Box (SSB) Appliance de gestion des logs haute performance Points forts Collecte et indexation haute performance Avec sa solution syslog-ng Store Box™ (SSB), Balabit propose un dispositif de gestion des logs ultra-fiable qui repose sur les points forts de syslog-ng Premium Edition. Cette solution permet de collecter et d’indexer des données issues des logs, d’effectuer des recherches complexes, de sécuriser les informations sensibles à l’aide de règles d’accès granulaires, de générer des rapports de conformité, et de transférer les données vers des outils analytiques tiers. Filtrage, analyse, réécriture et normalisation Recherche rapide sur des milliards de messages Rapports personnalisés Intégration aisée à des outils tierce partie via l’API REST Transport et stockage sécurisés par chiffrement Contrôle granulaire des accès Collecter et indexer les données issues des logs, à grande vitesse Le dispositif SSB utilise la solution syslog-ng Premium Edition comme outil de collecte des données issues des logs. Disponibles pour plus de 50 platesformes, parmi lesquelles les distributions Linux les plus populaires, les versions commerciales d’UNIX et Windows. Selon sa configuration, le dispositif syslog-ng peut recueillir jusqu’à 650 000 messages par seconde. Le moteur d’indexation du dispositif syslog-ng Store Box est optimisé pour des performances maximales. En fonction de sa configuration, un dispositif SSB peut collecter et indexer jusqu’à 100 000 messages par seconde pendant des périodes prolongées. Déployé dans une configuration client-relais, un unique dispositif SSB peut recueillir des logs provenant de plusieurs dizaines de milliers de sources. Rechercher, dépanner, rapporter Avec sa fonction de recherche en texte intégral, quelques secondes suffisent à un dispositif SSB pour retrouver des informations dans des milliards de logs via une interface Web intuitive. Des caractères génériques (wildcards) et des opérateurs booléens permettent d’exécuter des recherches complexes et d’aller plus en profondeur dans les résultats. Les utilisateurs disposent ainsi d’un aperçu rapide pour identifier les problèmes et peuvent facilement élaborer des rapports personnalisés à partir des graphiques et statistiques créés sur l’interface de recherche en vue de démontrer la conformité aux normes et réglementations en vigueur — PCI-DSS, ISO 27001, Sarbannes-Oxley et HIPAA. Filtrer et normaliser Le dispositif SSB utilise des fonctions de filtrages flexibles basées sur le contenu et les métadonnées des messages pour réduire le « bruit » généré dans les environnements où le trafic est intense et segmenter les données afin d’optimiser le résultat des recherches et les analyses. Avec le module PatternDB™, les logs entrants peuvent être classés en temps réel en fonction du contenu des messages ; ce module sert également à affecter des couples nom/valeur et corréler les messages pour normaliser les logs, ce qui permet de regrouper des formats de logs hétérogènes pour lancer des recherches et générer des statistiques. Les fonctions d’analyse (parsing) et de réécriture sont utilisées pour transformer des logs basés sur des filtres ou les résultats du module PatternDB™ afin de réduire la complexité des données issues des logs, et ainsi améliorer les performances des recherches et des analyses. SSB Databases syslog-ng Filter X Network Devices Index Search Log Analysis Y Normalize Store Report SIEM Archive www.balabit.com Sécuriser les données issues des logs Stockage différé (Store and Forward) Les logs peuvent être transférés entre les clients syslog-ng Premium Edition et le dispositif SSB avec cryptage TLS (Transport Layer Security) afin d’assurer la protection des données sensibles. Le cryptage TLS permet d’authentifier mutuellement l’hôte et le serveur au moyen de certificats X.509. Avec le dispositif SSB, vous pouvez stocker de grandes quantités de données issues de logs, créer des règles de conservation automatiques et sauvegarder des données sur des serveurs distants. Le modèle SSB le plus performant peut stocker jusqu’à 10 Téraoctets (To) de données non compressées. L’outil LogStore de SSB stocke les données dans des fichiers binaires cryptés, compressés et horodatés, limitant l’accès aux seules personnes autorisées. Le dispositif SSB assure l’archivage automatique des données sur des serveurs distants. Les données enregistrées sur un serveur distant demeurent accessibles et consultables ; plusieurs téraoctets de pistes d’audit sont accessibles à partir de l’interface Web du dispositif SSB. Celui-ci utilise le serveur distant en tant que lecteur réseau par l’intermédiaire du système NFS (Network File System) ou du protocole SMB/CIFS (Server Message Block/Common Internet File System). Les paramètres Authentification, Authorization et Accounting assurent un contrôle d’accès granulaire qui permet de restreindre l’accès à la configuration du dispositif SSB et aux logs stockés sur la base des privilèges accordés aux groupes d’utilisateurs. Le dispositif SSB peut être intégré aux bases de données LDAP et Radius. Dimensionnement des licences et assistance Le dimensionnement des licences se fait en fonction du nombre d’hôtes source LSH (Log Source Host) qui envoient les logs au dispositif SSB et à sa configuration matérielle. Concernant les licences, il n’existe pas de limites quant à leur nombre ou au débit de traitement ou stockage des données, ce qui facilite la budgétisation des projets. En faisant l’acquisition d’un dispositif SSB, vous obtenez l’autorisation d’accéder aux fichiers d’installation binaires du module syslog-ng Premium Edition (PE) sur plus de 50 plates-formes serveur. L’assistance dont bénéficient les produits — support 24/7 — est disponible pour une année entière. La souscription d’un abonnement aux services d’assistance permet de procéder à la mise à niveau des logiciels et de remplacer les équipements matériels Il est également possible de transférer les logs vers des outils d’analyse tiers, ou de récupérer des données sur le dispositif SSB via son interface API REST. L’API est accessible à l’aide du protocole RESTful via une liaison sur HTTPS, ce qui signifie que vous pouvez utiliser n’importe quel langage de programmation capable d’accéder à un client HTTPS RESTful pour intégrer le dispositif SSB à votre environnement — et notamment les langages les plus courants comme Java et Python. Haute disponibilité Le dispositif SSB peut être déployé dans une configuration haute disponibilité (HA). Dans ce cas de figure, deux dispositifs SSB (un maître et un esclave) configurés de façon identique fonctionnent simultanément. Le dispositif maître partage toutes les données avec le nœud esclave ; si l’unité active cesse de fonctionner, l’autre unité entre immédiatement en action, ce qui garantit l’accessibilité ininterrompue aux serveurs. De plus, à partir de la version T4, les dispositifs SSB sont équipés d’une alimentation redondante. Spécifications matérielles Produict Unit Redundant PSU Processor Memory Useful Capacity RAID IPMI SSB T-1 1 Nonn Intel(R) Xeon(R) X3430 @ 2.40GHz (4 cœurs) 2 x 4 GB (DDR3) 1 TB Logiciel Ouies SSB T-4 1 Ouies Intel(R) Xeon(R) E3-1275V2 @ 3.50GHz (4 cœurs) 2 x 4 GB (DDR3) 4 TB LSI MegaRAID SAS 9271-4i Ouies SSB T-10 2 Ouies 2 x Intel(R) Xeon(R) E5-2630V2 @ 2.6GHz (6 cœurs) 8 x 4 GB (DDR3) 10 TB LSI MegaRAID SAS 9271-4i Ouies Dispositifs virtuels SSB-VA Dispositif virtuel Pour en savoir plus sur le dispositif SSB VMWare ESXi/ESX Demander une évaluation Microsoft Hyper-V Pour être rappelé, cliquez ici À propos de Balabit Balabit est un éditeur européen innovant sur le marché de la sécurité informatique, un leader mondial dans le développement de la surveillance des utilisateurs à privilège et la gestion des logs pour protéger efficacement les entreprises contre les menaces internes et externes tout en respectant les réglementations applicables à la sécurité et à la conformité. Balabit est reconnu pour syslog-ng, son application de gestion des logs open source qui compte plus d’un million d’utilisateurs à travers le monde. www.balabit.com