SA : Présentation de Security Analytics

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

RSA Security Analytics est un système distribué et modulaire mettant à disposition des architectures de déploiement hautement flexibles, capables d’évoluer en fonction des besoins de l’entreprise. Grâce à Security Analytics, les administrateurs peuvent collecter deux types de données à partir de l'infrastructure réseau, à savoir les données de paquets et les données des fichiers log. Les aspects clés de l'architecture sont les suivants :

  • Collecte de données distribuées. Les données de paquets sont collectées par un hôte appelé le Decoder, tandis que le Log Decoder se charge des événements de log. Le Decoder capture, analyse et reconstruit l'ensemble du trafic réseau des couches 2 à 7 ou les données de logs et d'événements de centaines de périphériques et sources d'événements. Le Concentrator indexe les métadonnées extraites d'un réseau ou les données des fichiers log afin d'autoriser l'interrogation et l'analytique en temps réel à l'échelle de l'entreprise tout en facilitant le reporting et la génération d'alertes. Le Broker agrège les données capturées par d’autres appareils et sources d’événements. Les Brokers agrègent les données provenant des Concentrators configurés ; les Concentrators agrègent les données provenant des Decoders. Ainsi, un Broker fait le lien entre les multiples datastores en temps réel, conservés dans les différentes paires Decoder/Concentrator à travers l'infrastructure.
  • Analytique en temps réel. L’hôte Event Stream Analysis (ESA) de Security Analytics fournit une analytique de flux avancée, comme la corrélation et le traitement d'événements complexes avec des débits élevés et une faible latence. Il peut traiter de gros volumes de données d’événements disparates provenant des Concentrators. ESA utilise un Event Processing Language avancé qui permet aux analystes de réaliser le filtrage, l’agrégation, les jointures, la reconnaissance des modèles et la corrélation entre plusieurs flux d’événements disparates. Event Stream Analysis offre une puissante détection des incidents et la génération d’alertes.

    RSA Analytics Warehouse. Système informatique distribué, basé sur Hadoop, qui collecte, gère et permet l'analytique et le reporting sur des ensembles de données de sécurité à plus long terme, comme des mois ou des années. Le Warehouse peut être composé de trois nœuds ou plus, en fonction des exigences d'analytique, d'archivage et de résilience de l'organisation.

    Serveur Security Analytics. Est impliqué dans les modules Hosts Reporting, Investigation, Administration et d'autres aspects de l'interface utilisateur. Permet également le reporting sur les données conservées dans le Warehouse.

  • Capacité. Security Analytics possède une architecture à capacité modulaire compatible avec des unités DAC (direct-attached capacity) ou des réseaux de stockage SAN, qui s'adapte aux besoins de l'organisation en matière d'investigation à court terme, et d'analytique et de conservation de données à plus long terme.

Security Analytics apporte une grande flexibilité de déploiement. Vous pouvez composer son architecture de plusieurs dizaines d'hôtes physiques ou d'un seul hôte physique selon les caractéristiques spécifiques du client et les besoins en matière de sécurité. D'autre part, l'ensemble du système Security Analytics a été optimisé pour s'exécuter sur une infrastructure virtuelle. L'image suivante illustre l'architecture fonctionnelle de Security Analytics : 

104MarkDiagram.png

L'architecture du système comprend les composants principaux suivants : Decoders, Brokers et Concentrators, Archivers, ESA, Warehouse Connectors, RSA Warehouse. Il est possible d'utiliser les composants de Security Analytics conjointement au sein d'un système ou individuellement.

  • Lors de l'implémentation d'un système de gestion des événements et des informations de sécurité (SIEM), la configuration de base inclut les composants suivants : Log Decoder, Concentrator, Broker, Event Stream Analysis (ESA) et le serveur Security Analytics.
  • Lors de l'implémentation approfondie, la configuration de base inclut les composants suivants : Decoder, Concentrator, Broker, ESA et Malware Analysis. Le service Incident Management, composant facultatif résidant sur le système ESA, est utilisé pour hiérarchiser les alertes.

Ce tableau présente brièvement les principaux composants :

                                                  
Composant systèmeDescription :
Decoder / Log Decoder
  • Security Analytics collecte deux types de données : données de paquets et données des fichiers log. 
  • Les données de paquets (c'est-à-dire les paquets réseau) sont collectées par l'intermédiaire du Decoder via la prise robinet du réseau ou le port SPAN, généralement défini comme un point de sortie sur le réseau d'une organisation. 
  • Un Log Decoder peut collecter quatre types de log différents, à savoir Syslog, ODBC, événements Windows et fichiers plats.
  • Les événements Windows font référence à la méthode de collecte de Windows 2008 tandis que les fichiers plats sont obtenus via SFTP. 
  • Les deux types de Decoders reçoivent des données transactionnelles qui sont ensuite enrichies, clôturées et agrégées au Warehouse ou à d'autres composants de Security Analytics.
  • Le processus d'acquisition et d'analyse des données transactionnelles repose sur un framework dynamique et ouvert.
Concentrator / Broker
  • Toutes les données pouvant être indexées sur le Decoder sont filtrées par le Concentrator respectif. 
  • Dès que les données sont stockées sur le Concentrator, elles sont transmises sous forme de métadonnées en flux continu à RSA Analytics Warehouse.
Services Archiver
  • Archiver désigne un hôte qui permet d'archiver les logs à long terme en indexant et en compressant les données des fichiers log, puis en les envoyant dans un espace de stockage d'archives.  
  • Cet espace de stockage d'archives est optimisé pour assurer une conservation des données à long terme et générer des rapports de conformité.  
  • Archiver stocke des logs bruts et des métadonnées de logs issus des Log Decoders en vue de leur conservation à long terme et utilise des DAC (Direct-Attached Capacity) dans le cadre du stockage.

    Remarque : Les paquets bruts et les métadonnées de paquets ne sont pas stockés dans Archiver.

Event Stream Analysis (ESA)
  • Cet hôte ESA propose des fonctions d'analytique des flux d'événements, comme le traitement des événements complexes et leur corrélation à hauts débits et faible latence. Il est capable de traiter de gros volumes de données d'événements disparates provenant des Concentrators.
  • ESA utilise un langage avancé de traitement des événements (Event Processing Language) permettant aux utilisateurs de réaliser le filtrage, l'agrégation, l'association, la reconnaissance de schémas et la corrélation entre des flux d'événements multiples et disparates. 
  • ESA contribue à une puissante fonction de détection des incidents et de génération d'alertes.
Warehouse Connector
  • Warehouse Connector permet de collecter les métadonnées et les événements à partir des Decoders, et de les écrire au format Avro dans un système informatique distribué basé sur Hadoop.
  • Vous pouvez configurer le Warehouse Connector en tant que service sur des Log Decoders ou Decoders existants. Il peut être également exécuté en tant qu'hôte virtuel dans votre environnement virtuel. 
  • Le Warehouse Connector comprend les composants suivants : Source de données, Destination et Flux de données. 
RSA Analytics Warehouse
  • RSA Analytics Warehouse permet d'archiver les données à plus long terme par l'intermédiaire d'un système informatique distribué basé sur Hadoop qui collecte, gère et active les fonctions d'analytique et de reporting sur les données de sécurité.
  • RSA Analytics Warehouse requiert un service appelé Warehouse Connector pour collecter les métadonnées et les événements à partir de Decoder et de Log Decoder et les écrire au format Avro dans un système informatique distribué et basé sur Hadoop.
  • Toutes les données entrant au niveau du Log Decoder et du Concentrator finissent par être transmises au Warehouse. 
  • Un Warehouse se compose généralement de deux unités : des nœuds de stockage et des DAC (Direct Attached Capacity). 
  • Les données entières (et pas seulement des métadonnées) sont stockées dans RSA Analytics Warehouse et sont mises à la disposition de Security Analytics le cas échéant.

Composants de base et en aval

Dans Security Analytics, les services Core intègrent et analysent les données, génèrent les métadonnées et agrègent les métadonnées générées aux données brutes. Dans la figure ci-dessous, les services Core sont mis en surbrillance en bleu ; il s'agit de Decoder, Log Decoder, Concentrator et Broker. Les systèmes en aval utilisent les données stockées sur les services Core à des fins d'analytique. Par conséquent, les opérations des services en aval dépendent des services de Security Analytics Core. Les systèmes en aval sont surlignés en rouge. Il s'agit de Archiver, Warehouse, ESA, Malware Analysis, Investigation et Reporting. 

Bien que les services de Security Analytics Core puissent fonctionner et fournir une bonne solution analytique sans les systèmes en aval, les composants en aval fournissent une analytique supplémentaire. ESA offre une corrélation en temps réel à travers les sessions et événements, ainsi qu’entre différents types d’événements, tels que les données de log et de paquets. Investigation permet d'explorer les données, d'examiner les événements et les fichiers, mais également de reconstituer des événements dans un environnement sécurisé. Le service Malware Analysis assure l'inspection automatisée en temps réel des activités malveillantes dans les sessions réseau et les fichiers associés.

CoreandDownStreamSystems.png

Interface utilisateur Security Analytics

Security Analytics réalise deux fonctions à un très haut niveau :

  • Proposer une interface graphique de type navigateur permettant d'administrer l'architecture Security Analytics, mais également de définir les configurations et les autorisations d'accès aux services.
  • Extraire les données des Warehouse, Decoders et Concentrators, effectuer l'analyse et générer des alertes et des rapports. 
  • Tous les modules Security Analytics adoptent la même approche pour présenter les données et les options de configuration à l'aide d'une série de tableaux de bord, de vues, de grilles et de boîtes de dialogue. Ainsi, les utilisateurs naviguent en toute simplicité dans une interface compréhensible. Une fois familiarisés avec l'interface, les utilisateurs peuvent améliorer encore davantage leur productivité en créant des tableaux de bord personnalisés à des fins spécifiques. Un ensemble de tableaux de bord personnalisés peut par exemple présenter des informations propres à certaines régions ou différents types de menaces.

Modules Security Analytics

Security Analytics organise les tâches administratives, analytiques et de reporting en modules qui représentent des regroupements logiques de fonctions et d'opérations pour les services :

  • Le tableau de bord constitue le point d'accès à l'intégralité des modules Security Analytics, ce qui offre à l'utilisateur un portail pratique vers les fonctions d'autres modules.
  • Le module Administration est l'interface utilisateur permettant de gérer et de surveiller les hôtes, les périphériques et sources d'événements, ainsi que les services. Lorsqu'ils sont configurés, les hôtes, les périphériques et sources d'événements, ainsi que les services sont disponibles pour d'autres modules Security Analytics.
  • Le module Investigation constitue l'interface utilisateur qui permet de visualiser les paquets capturés par les hôtes Security Analytics. Malware Analysis désigne l'interface utilisateur assurant l'analyse automatisée des programmes malveillants.
  • Le module Live est l'interface utilisateur permettant d'accéder aux ressources disponibles via le système de gestion de contenu Live et de les gérer.
  • Les modules Reports et Alerts proposent l'interface utilisateur qui réalise les fonctions automatisées de génération de rapports et d'alertes.
  • Le module Incidents fournit la fonction Incident Management dans Security Analytics. La fonction de gestion des incidents facilite le suivi du processus de réponse aux incidents et assure les tâches suivantes :

    • Effectuer le suivi de la réponse aux incidents de manière homogène.
    • Automatiser le processus de création d'incidents de sécurité exploitables à partir d'alertes entrantes.
    • Fournir un contexte métier et des outils d'investigation pour aider l'équipe à découvrir les causes premières.
    • Effectuer le suivi du processus de correction de manière automatique grâce à l'intégration avec un système tiers d'assistance.
    • Effectuer le suivi de la réponse aux incidents de manière homogène.
    • Automatiser le processus de création d'incidents de sécurité exploitables à partir d'alertes entrantes.
    • Fournir un contexte métier et des outils d'investigation pour aider l'équipe à découvrir les causes premières.
    • Effectuer le suivi du processus de correction de manière automatique grâce à l'intégration avec un système tiers d'assistance.
You are here
Table of Contents > Présentation de Security Analytics

Attachments

    Outcomes