Warakorn - Fotolia

Aperçu de RSA NetWitness Logs and Packets

L’expert Dan Sullivan se penche sur l’outil de RSA, conçu pour analyser logs et paquets de données pour détecter les menaces.

Le défi de la sécurité des systèmes d’information (SSI) peut se résumer ainsi : les professionnels de la SSI doivent tomber juste à chaque fois, alors que les attaquants peuvent se contenter d’une seule. L’idée derrière cette synthèse est que les attaquants peuvent prendre leur temps pour sonder les réseaux, évaluer les contrôles de sécurité en place, et trouver les faiblesses à exploiter. Dans le même temps, les professionnels de la SSI doivent continuellement chercher les traces d’activités suspectes, évaluer les vulnérabilités, et se préparer à répondre rapidement à un vaste éventail de types d’attaques. Les outils analytiques tels que la suite RSA NetWitness sont conçues pour réduire la surcharge informationnelle qui pèse sur eux.

RSA NetWitness Logs and Packets

Il n’est plus viable, aujourd’hui, dans une grande entreprise, d’attendre de contrôles de sécurité ciblés qu’ils soient suffisamment rapides et efficaces pour contrer les attaques avancées. L’analytique de sécurité a émergé pour répondre au besoin de collecter et d’intégrer les données de sources multiples pour ensuite chercher des motifs d’activités potentiellement malicieuses.

RSA a lancé NetWitness Suite durant l’été. Elle s’appuie sur l’offre précédente de l’éditeur, RSA Security Analytics et inclut NetWitness Logs et NetWitness Packets, aux côtés des produits EndPoint et SecOps Manager, notamment.

La plateforme NetWitness Logs and Packets est conçue pour fournir des capacités analytiques avancées, y compris l’analyse comportementale en temps réel et une visibilité sur les hôtes de l’infrastructure ainsi que ses ressources réseau et Cloud. Pour cela, elle s’appuie notamment sur la capture des paquets réseau et la collecte des logs NetFlow.

Superviser et enquêter

RSA NetWitness Logs and Capture comporte plusieurs composants dédiés à diverses opérations, dont un décodeur, un concentrateur et un broker. Le premier est responsable de la collecte en temps réel des données réseau. Il en assure également la normalisation, ainsi que la reconstruction des sessions. Il peut également collecter flux et données des points de terminaison.

Le concentrateur collecte les informations générées par les décodeurs et fournit les mécanismes nécessaires à la gestion de décodeurs distribués. Une système hybride décodeur/concentrateur est disponible pour la supervision des petites succursales.

Le broker supporte les services analytiques en permettant la fédération de requêtes au travers de la plateforme distribuée. C’est lui qui permet aux administrateurs de travailler depuis un seul équipement pour collecter des informations sur l’ensemble de l’infrastructure.

La suite comporte en outre un système d’archivage, pour le stockage à long terme et la compression des données de journalisation, ainsi qu’un collecteur virtuel de logs qui assure la connexion avec les sites distants.

Analyse comportementale

L’une des fonctionnalités clés de la suite RSA NetWitness est son moteur d’analyse comportementale. Peu après l’annonce de cette suite, l’éditeur a ajouté des capacités d’analyse comportementale en temps réel à sa plateforme. Ce composant utilise l’apprentissage automatique, ou Machine Learning, pour détecter les activités et comportement anormaux, tant des utilisateurs que des hôtes de l’infrastructure.

Selon RSA, ce moteur analytique est en particulier conçu pour détecter les déplacements latéraux des attaquants.

Enrichissement de données

En plus de collecter les données, la plateforme RSA NetWitness assure leur enrichissement et l’analyse des flux d’événements. Cela recouvre l’ajout de marqueurs pour mettre en évidence des indicateurs de menace, ou tout autre caractéristique pertinente pour accélérer le travail des analystes et les dégager d’une partie de l’analyse de bas niveau. Ce type d’analyse sert de fondation à la construction de mécanismes de génération d’alertes en temps réel. Et RSA NetWitness intègre des outils pour trier de vastes volumes de données et hiérarchiser la réponse.

Le module d’analyse de flux d’événements (ESA) est un moteur analytique conçu pour corréler les données de différents événements. Il peut utiliser les métadonnées de logs, de NetFlow, de paquets et d’autres sources. Qui plus est, les entreprises peuvent créer des règles spécifiques pour la collecte et le traitement des données.

Conclusion

RSA NetWitness Logs and Packets a été conçu comme un outil distribué capable de fonctionner à l’échelle de vastes réseaux et de topologies complexes. Les modules analytiques peuvent réaliser des analyses en temps réel ainsi que post-mortem. L’intégration avec RSA Security Operations Center est utile à la consolidation et à la coordination de la supervision et de la réponse autour de cette plateforme.

Celle-ci s’adresse aux entreprises disposant d’équipes de sécurité spécialisées capables de tirer pleinement profit des capacités de la plateforme. Les organisations de taille plus modeste peuvent préférer des offres alternatives.

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)