30 janvier 2013

Dans la catégorie des SIEM (Security Information and Event Management), on peut distinguer grossièrement trois types de solutions :

–       Les produits « vierges » de toute configuration à l’origine et pour lesquels tout doit être mis en place. C’est le cas de Splunk par exemple qui mise sur l’adaptabilité et la flexibilité pour garantir une solution efficace quelle que soit le besoin ;

–       Les solutions misant sur des bases existantes et évolutives pour assurer corrélation, alerting, reporting et proposer des parseurs adaptés à la majorité des équipements du marché ;

–       Les solutions prêtes à l’emploi, simples d’utilisation et permettant de répondre de manière spontanée à un besoin précis. Celles-ci, si elles peuvent donner satisfaction à l’instant t, pêchent généralement en termes d’évolutivité et de fonctionnalités.

QRadar, qui appartient désormais à IBM, s’intègre dans la seconde catégorie.

Il collecte, stocke et analyse les données (Logs et Flows) et fournit la corrélation des événements en temps réel pour une utilisation dans :

  • la détection des menaces,
  • la création de rapports de conformité,
  • la création de rapports d’audit.

Des milliards d’événements et de flux quotidiens peuvent être réduits en quelques dizaines « d’offenses » (Alertes). Cette gestion des offenses permet d’avoir une meilleure visibilité des problèmes de sécurité du SI.

QRadar offre de nombreuses possibilités de recherche et de rapports d’événements.

Les recherches et classements se font de manière simple et intuitive. Il est possible de sauvegarder les recherches les plus intéressantes pour les réutiliser dans des rapports, des « dashboard », ou tout simplement au sein d’une nouvelle recherche.

En plus des logs, les processeurs de flux peuvent recevoir et traiter des Flow tel que  NetFlow, JFlow et Packeteer FDR. Pour donner encore plus de visibilité au niveau du réseau, Q1labs a développé ses propres collecteurs de flow nommé « QFlow ». Les collecteurs QFlow se positionnent sur un port de type « span » pour collecter et analyser le contenu des paquets jusqu’au niveau 7.

Les données recueilles par les collecteurs QFlow sont spécifiquement utilisées pour la corrélation des informations liées :

  • au comportement du réseau,
  • à la détection contextuelle,
  • à la détection d’anomalie d’utilisation des applications,
  • au profilage des utilisateurs
  • à la détection de menaces zero-day.

Toutes ces informations visent à enrichir la connaissance du SI par Qradar et permettent d’identifier les menaces et les risques afin d’alerter les personnes en charge de l’infrastructure.

Pour une petite démo, vous pouvez nous contacter dès maintenant !

Partager :

Auteurs