Présentation de Net Report

© Net Report 2009. All rights reserved.

Présentation de Net Report

Version 52009



20 avril 2023 2

Agenda

• Présentation Société• Présentation Produits• Fonctionnalités Principales

• Centralisation & Archivage• Dashboard et Reporting • Alertes & Corrélation• Investigation et Personnalisation

• Synthèse


Présentation Société

20 avril 2023 3



20 avril 2023 4

A Propos de Net Report

• Société crée en 2002 mais ayant rachetée comme cœur produit, une solution de Business Intelligence existant depuis 1985.

• Chiffre d’affaire 2007 de 1.5 M USD.• Capital salarial & investisseurs privé.• Plus de 200 clients grands comptes.• Plus de 15 centres de service MSSP.• Présent dans plus de 20 pays.


20 avril 2023 5

Net Report : Solution SIEM

• Spécialiste de l’exploitation de logsUne offre complète qui couvre l’ensemble de vos besoins :•Centralisation et archivage au format brut.•Génération de tableaux de bord et reporting. •Corrélation d’événements et remontées d’alertes. •Analyse à posteriori (forensic investigation) et

manipulation des données.

•Véritable Solution de Business Intelligence•Transforme vos données brutes en indicateurs

décisionnels.

•Permet la mise en conformité avec les réglementations internationales

•Assure la conformité avec les réglementations internationales, telles que Sarbanes-Oxley, Bâle II et la LSF.



20 avril 2023 7

Quels sont les principales questions ?

• Que se passe-t-il sur mon réseau ?• Suis-je sûr que les employés utilisent

l’infrastructure IT à des fins professionnelles ou personnelles ?

• Est-ce que mon infrastructure est dimensionnée pour nos besoins ?

• Est-ce que la politique de sécurité de l’entreprise correspond à la réalité ?

• Est-ce que notre entreprise répond aux réglementations telles que Sarbanes Oxley, Bâle II, la LSF ?



20 avril 2023 8

Quels sont les besoins fonctionnels ?

• Un reporting efficace et à la demande sur des équipements hétérogènes : Firewall/ VPN, IDS/IPS, Proxy, Serveur Mail, Gateway Anti-Virus et Serveur Web.

• Réduire le coût de supervision de la sécurité et automatiser les processus.

• Assurer et contrôler le bon usage de l’IT par les employés.

• Optimiser l’utilisation du réseau.• Investiguer facilement les évènements. • Créer ses propres rapports.


Présentation Produits

20 avril 2023 9



20 avril 2023 10

4 Produits

Une solution packagée pour l’analyse des logs, le reporting et les tableaux de bord personnalisables.

Une plate forme de gestion temps réel des événements sécurité, incluant à la fois un module de stockage des données au format brut, la Console d’alertes et de corrélation ainsi que Net Report Log Analyser.

Analysez des volumes importants de données sous plusieurs angles sur de multiples sources de données, créez des requêtes ad hoc et des rapports personnalisés avec la charte graphique de votre entreprise.

Les Appliances Net Report offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de traitement maximum dans un espace minimum.


20 avril 2023 11

Correlate

La solution – Architecture

Appliance

OLAPCubes

Enhance DataLDAP, ADS, SQL,

RDNS


20 avril 2023 12

Génération du fichierà plat préparation à la sauvegarde légale(XML-Syslog trace)

Ecriture d’un fichier à plat contextuel enrichi, copie de la base de donnée

(CSV)

Les données – Architecture

Zone d’archivageLong terme(6 mois à

plusieurs années)

Zone de stockageTemporaire

(2 jours)

CSV

Log unitaire (RAW)Conservation 7j-15j (env~)

Chaque évènement est présent

Agrégation journalièreConservation 62j-93jComptabilisation de chaque

évènement par jour

Agrégation mensuelleConservation 6m à 7ans

Comptabilisation de chaque évènement par mois



20 avril 2023 13

Produits supportés


Fonctionnalités Principales

20 avril 2023 14



20 avril 2023 15

Réponse Globale

Business Intelligence& Réglementaire



20 avril 2023 16

Centralisation & Archivage



20 avril 2023 17

• Centralisation en 1 point unique• Toutes les données sont centralisées dans une base de

données pour la génération des tableaux de bords et pour l’investigation.

• Format de logs archivables• Net Report archive tous les fichiers de logs au format, syslog,

fichiers à plat ou API propriétaires.

• Valeur légales• Les logs sont stockés dans leur format natif afin d’être

présentés si nécessaire comme preuve lors d’une enquête ou commission rogatoire.

• Intégrité, Compression et Chiffrement• Les fichiers de logs sont signés, compressés et chiffrés de

manière journalière (par type de périphérique et/ou date).

Centralisation et Archivage



20 avril 2023 18

Architecture des Archives



20 avril 2023 19

Dashboard et Reporting


20 avril 2023 20

Dashboards

• Tableaux de bord consolidés• Net Report interprète et présente les informations dans un format simple, systématiquement catégorisés et contenant de nombreux graphiques.

• Publication des tableaux de bord• Les tableaux de bord sont générés ou planifiés en fonction des paramètres définis au niveau du portail web.

• Drill-Down• Les tableaux de bord proposent une navigation aisée, permettant un véritable drill-down pour remonter l’information recherchée.

• Fichiers liés chronologiquement• Les flèches présentes sur les rapports permettent une navigation vers les jours ou mois précédant ou suivant le rapport actuellement affiché.



20 avril 2023 21

Les Tableaux de bord

*

*

* Disponible courant 2008

*

*

Catégories normalisées



20 avril 2023 22

UTM Dashboards



20 avril 2023 23

Firewall Dashboards



20 avril 2023 24

IDS / IPS Dashboards



20 avril 2023 25

Content Filtering Dashboards



20 avril 2023 26

Web Traffic Statistics Dashboards



20 avril 2023 27

Serveur Mail Dashboards



20 avril 2023 28

Proxy Dashboards



20 avril 2023 29

Microsoft WMI Dashboards



20 avril 2023 30

Alertes & Corrélation



20 avril 2023 31

Corrélation & Remontées d’alertes

• Simplifier la prise de décision• En corrélant les informations d’un grand nombre d’équipements de sécurité répartis sur l’ensemble de votre système d’information.

• Automatiser la remontée d’alertes• Par une définition simple des patterns (clefs), des seuils, des règles et des actions appropriées afin de simplifier l’administration de la sécurité.

• Réduire les coûts d’administration• Par une gestion automatisé des évènements de sécurité, vous améliorez la disponibilité et l’efficacité de vos équipes.

• Analyse Temps réel• Net Report permet d’analyser en temps réel la masse d’informations et de corréler les alertes provenant de différents équipements.

ObjectifNe remonter que les alertes et des

évènements que vous espérez ne jamais voir !



20 avril 2023 32

Administration des alertes

• Alert Summary• Affiche les alertes qui doivent être prises en compte ou qui sont en

cours de traitement, avec système de gestion des alertes.

• Information• Affiche les alertes informationnelles.

• Resolved• Affiche les alertes qui sont traitées et résolues.

• Search• Affiche toutes les alertes, filtrez les alertes en cliquant sur les icônes

ou les hyperliens. Par exemple, filtrer des évènements pour une adresse IP.



20 avril 2023 33

Exemples de scénarii de corrélation (1)

•Pour les équipements de type IPS/IDS • Vulnérabilité assessment basé sur le code CVE envoyé par l'IDS / IPS sur

l'alerte et la réalité de la vulnérabilité sur la cible (intégration d'informations en provenance de scanners de vulnérabilité dans une base de vulnérabilité IP;CVE;RESULT, alerte sur des vulnérabilités avérées .

• Mémorisation des IP des attaquants bloquée par l'IPS pour corrélation avec les firewalls (placés après) acceptant le trafic de l'attaquant, alerte sur un attaquant rentrant sur le réseau interne.

• Envoi des autres alarmes de IPS en "information" dans la console pour une agrégation/corrélation classique sur quantité...

•Pour les équipements de type FW/Routeur avec Access list

• Contrôle de la politique de sécurité des FW par une modélisation de la politique de sécurité sous forme des ports autorisés dans une base/dictionnaire possédant les informations : EQUIPEMENT;PORT;STATUT alertes en cas de violation de cette politique de sécurité.

• Contrôle sur les actions bloquées répétées de la part d'IP identiques, envoie en "Information" sur seuil dépassé sur laps de temps (par exe : 10 itération en 10 minutes).



20 avril 2023 34


•Pour les équipements de type passerelles Anti Virus / Anti Spam / Anti… tout (x)

• Alerte sur virus sortant dès le premier virus.• Information sur spam sortant sur le 10e spam du même utilisateur

dans les 10 dernières minutes.• Alerte sur les virus entrants sur un seuil basé sur le nombre* de

virus habituels mensuels (*=contactez moi pour plus d'information sur les méthodes de calculs possibles) rencontrés sur 5 minutes.

• Information sur les virus entrants sur un seuil basé sur le nombre* de virus habituels journaliers rencontrés sur 5 minutes.

•Pour les équipements de type messagerie, passerelles de messagerie

• Alerte sur les emails sortant envoyant plus de 500 emails en 5 minutes. (exclusion en cas de mailing list).

•Pour les systèmes d'authentification • Alerte/information sur les échecs répétés d'authentification

( plusieurs niveau d'alertes , contrôle de brut force).



20 avril 2023 35


•Pour les système de QOS / Load Balancing• Alerte sur les pannes de noeuds répétés, et maintenues dans le

temps (attention au doublons possible avec les système de supervision réseau type Nagios, HPOV...).

•Pour des système type proxy • Utilisation suspecte ou excessive (par exemple 30 sites en 30 minutes).• Bypass du proxy, connexion directe à Internet (via Firewall).

•Pour des systèmes Windows, Contrôleurs de Domaines, Serveurs de fichiers

• Modification de droits/groupes ne rentrant pas dans le process habituel (le user change de lui même ses privilèges).

• Un utilisateur tente de modifier ses droits pour faire partie d’un nouveau groupe et que cette modification a été terminée avec succès.

• Attaque par force brute, tentative suivi de succès (10 tentatives et 1 succès).

• Suppression par un utilisateur non autorisé (politique de sécurité) de fichiers sur des répertoires précis d’un serveur).



20 avril 2023 36

Investigation et personnalisation


20 avril 2023 37

Investigation• Multi-Device/Multi-Source

• Rapport de traçabilitéDate Origin Action

Source IP Destination IP Rule / Attack / ResultsSource Area Destination Area

• Net Report Tool Kit• Outil Flexible et puissant

d’interrogation de la base de donnée

• Tableaux croisés Dynamiques• Cubes OLAP


20 avril 2023 38

Cube Proxy


20 avril 2023 39

Cube Proxy


20 avril 2023 40

Cube Olap IPS



20 avril 2023 41

Cube WMI



Net Report Tool Kit (1)

20 avril 2023 42


20 avril 2023 43

• Net Report Tool Kit permet de:

• Créer de nouveaux rapports.

• Modifier les rapports existants.

• Créer des rapports Multi-équipements.

• Customiser la mise en page des rapports à votre image.

• Créer de nouveaux Cubes

Net Report Tool Kit (2)

• Requêteur flexible de base de données



20 avril 2023 44

Net Report Appliance Models 1 & 2 • Objectifs

• Réduire la complexité de la gestion des données des logs de sécurité, pour les petites comme les grandes entreprises.

• Avantages • Facile à déployer et à administrer, Net Report Appliance

Models 1 & 2 offrent une souplesse de configuration dans un châssis 2U et sont destinés aux sociétés qui souhaitent une capacité de stockage interne dans un espace minimum.

• Richesse• Net Report Appliance Models 1 & 2 intègrent la dernière

version de Net Report Monitoring Center, incluant les dernières options d’installation rapide pour faciliter le déploiement et la configuration de Net Report au sein de l’entreprise.

• Puissance • Les Appliances Net Report permettent aux entreprises

d’analyser des milliers d’évènements par seconde jusqu’à plusieurs douzaines de millions d’évènements par jour.



20 avril 2023 45

• Net Report Appliance Model 1:• Rack 2U, 1 Processeur Quad Core 2.33 Ghtz • 4 Go de RAM • 3 Disques 15 K rpm de 146 Go en raid 5 soit 292 Go

utile • Alimentation redondante • Licences OEM Windows 2003 + SQL server 2005 • Maintenance sur site J+1 3ans • Licence Net Report Appliance Monitoring.

• Net Report Appliance Model 2 :• Rack 2U, 2 Processeurs Quad Core 2,33 Ghtz • 4 Go de RAM • 3 Disques 15 K rpm de 300 Go en raid 5 soit 600 Go

utile • Alimentation redondante • Licences OEM Windows 2003 + SQL server 2005 • Maintenance sur site J+1 3ans • Licence Net Report Appliance Monitoring


Synthèse

20 avril 2023 46



20 avril 2023 47

Une solution Unique

Net Report est l’unique solution qui vous offre en même temps:

• Une solution complète et intégrée• La conformité avec la loi pour la sécurisation des logs bruts• Un véritable reporting de haut niveau• Une investigation facile avec les Cubes OLAP• Une corrélation temps réel avec gestion des incidents

A un coût d’achat raisonnable Et un coût opérationnel faible

Documents

Présentation de Net Report