SA : Terminologie

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

A

                               
TermeDescription :
Administration, moduleLe module Administration est l'interface utilisateur permettant de gérer et de surveiller les appliances, les périphériques et les services. Lorsqu'ils sont configurés, les appliances, les périphériques et les services sont disponibles auprès d'autres modules Security Analytics.
AlertesLe module Security Analytics Alerts est l'interface utilisateur qui réalise les fonctions automatisées de génération d'alertes.
Données anonymisées« Les données sont anonymisées lorsque tous les éléments d'identification sont éliminés d'un ensemble de données personnelles. Cela consiste à supprimer tout renseignement qui pourrait permettre à quelqu'un d'identifier la ou les personnes concernées en déployant des efforts raisonnables. Lorsque des données sont effectivement anonymisées, elles ne constituent plus de données personnelles. » (Source : EU_DP_LAW_HANDBOOK) Ce terme est défini dans le cadre de la solution de confidentialité des données Security Analytics.
anonymisationSelon le Privacy Technology Focus Group, l'anonymisation consiste à convertir de façon irréversible des données en clair en texte non lisible par l'utilisateur, notamment grâce à des techniques de hachage unidirectionnel et de cryptage en supprimant la clé de déchiffrement. Ce terme est défini dans le cadre de la solution de confidentialité des données Security Analytics.
ArchiverRSA Archiver désigne une appliance qui permet d'archiver les logs à long terme en indexant et en compressant les données des fichiers log, puis en les envoyant dans un espace de stockage d'archives. 

B

                
TermeDescription :
BrokerRSA Broker est à la fois une appliance et un service au sein du réseau Security Analytics. Les Brokers agrègent les données capturées par les Concentrators configurés ; les Concentrators agrègent les données provenant des Decoders. Ainsi, un Broker fait le lien entre les multiples datastores en temps réel, conservés dans les différentes paires Decoder/Concentrator à travers l'infrastructure.

C

                                
TermeDescription :
capacitéSecurity Analytics possède une architecture à capacité modulaire compatible avec des unités DAC (direct-attached capacity) ou des réseaux de stockage SAN, qui s'adapte aux besoins de l'organisation en matière d'investigation à court terme, et d'analytique et de conservation de données à plus long terme.
collectionsLes collections servent à conserver les données de log stockées. Pour chaque collection, vous pouvez spécifier la quantité d'espace de stockage total à utiliser et le nombre de jours pendant lesquels les logs doivent être conservés dans la collection. Les collections sont configurées dans Archiver.
ConcentratorRSA Concentrator est à la fois une appliance et un service au sein du réseau Security Analytics. Les Concentrators indexent les métadonnées extraites d'un réseau ou les données des fichiers log afin d'autoriser l'interrogation et l'analytique en temps réel à l'échelle de l'entreprise tout en facilitant le reporting et la génération d'alertes.
Base de données principaleCette base rassemble des données de paquets, de méta, de sessions et d'index.
Services de baseDans Security Analytics, les services Core intègrent et analysent les données, génèrent les métadonnées et agrègent les métadonnées générées aux données brutes. Les services Core comprennent les services Decoder, Log Decoder, Concentrator et Broker.

D

                           
TermeDescription :
tableau de bordLe tableau de bord Security Analytics est l'interface utilisateur qui s'affiche dans un navigateur lorsque la connexion avec Security Analytics a été établie. Il peut aussi s'agir du tableau de bord au sens générique. Par exemple : Vous pouvez créer des tableaux de bord personnalisés dans le tableau de bord Security Analytics. Au sens spécifique, le tableau de bord Security Analytics désigne le tableau de bord Unified.
DecoderRSA Decoder est à la fois une appliance et un service au sein du réseau Security Analytics. Dans le réseau Security Analytics, les données de paquets sont collectées par une appliance nommée Decoder, tandis que Log Decoder se charge des événements. Le Decoder capture, analyse et reconstruit tout le trafic réseau des couches 2 à 7, ou les données de logs et d'événements de centaines de périphériques.
système et composants en avalContrairement aux composants Core, les systèmes en aval utilisent les données stockées sur les services Core à des fins d'analytique. Par conséquent, les opérations des services en aval dépendent des services de Security Analytics Core. Les systèmes en aval incluent Archiver, Warehouse, ESA, Malware Analysis, Investigation et Reporting.
point d'extractionEnsemble de données qu'un analyste met au premier plan à l'aide de requêtes et de filtres dans la vue Investigation. En effet, l'analyste explore les données capturées en vue de rechercher des données d'intérêt susceptibles de contenir des fichiers ou du code dangereux.

E

                   
TermeDescription :
Event Stream Analysis (ESA)L'appliance RSA Event Stream Analysis (ESA) propose des fonctions avancées d'analytique des flux telles que le traitement des événements complexes et leur corrélation à hauts débits et faible latence. Il est capable de traiter de gros volumes de données d'événements disparates provenant des Concentrators. ESA utilise un langage avancé de traitement des événements (Event Processing Language) permettant aux analystes de réaliser le filtrage, l'agrégation, l'association, la reconnaissance de schémas et la corrélation entre des flux d'événements multiples et disparates. Event Stream Analysis contribue à une puissante fonction de détection et d'alerte des incidents.
EVPLa mesure d'événements par seconde détermine la capacité de traitement d'un hôte RSA qui consomme des données.

F

               
TermeDescription :
implémentation approfondieLors de l'implémentation approfondie, la configuration de base de Security Analytics inclut les composants suivants : Decoder, Concentrator, Broker, ESA et Malware Analysis. Le service Incident Management, composant facultatif résidant sur le système ESA, est utilisé pour hiérarchiser les alertes.

G

               
TermeDescription :
consignation globale des audits

La consignation globale des audits propose aux auditeurs Security Analytics une visibilité consolidée sur les activités des utilisateurs au sein de Security Analytics, en temps réel et à partir d'un emplacement centralisé. Cette visibilité comprend les logs d'audit collectés à partir du système Security Analytics et les différents services au sein de l'infrastructure Security Analytics.

H

                   
TermeDescription :
hachageMéthode d'obscurcissement utilisée pour protéger des données sensibles.
hostÉquipement physique ou machine virtuelle, désigné par un nom de domaine complet (FQDN) ou une adresse IP, sur lequel un service Security Analytics est installé [c'est-à-dire le serveur Security Analytics, le service d'appliance, le service Archiver, le service Broker, le service Concentrator, le service Decoder (paquets et logs), l'appliance Hybrid, le service Malware Analysis, le service Event Stream Analysis, le service Log Collector, le service Security Analytics Warehouse, le service Workbench, le service Reporting Engine et le service IPDB Extractor].

I

                                   
TermeDescription :
TermeDescription :
identifiabilité« Un individu est identifié dans ces informations ; ou un individu, même s'il n'est pas identifié, est décrit dans ces informations de sorte qu'il est possible de déterminer de qui il s'agit en effectuant des recherches approfondies. » (Source : EU_DP_LAW_HANDBOOK) Ce terme est utilisé dans le cadre de la solution de confidentialité des données Security Analytics.
Incident Management, serviceRésidant sur le système ESA, le service Incident Management permet de hiérarchiser les alertes.
Incidents, moduleLe module Incidents fournit la fonction Incident Management dans Security Analytics. La fonction de gestion des incidents facilite le suivi du processus de réponse aux incidents.
indexL'index est une collection de fichiers permettant de rechercher des ID de session à l'aide de métavaleurs.
Investigation, moduleLe module Investigation est l'interface utilisateur Security Analytics qui permet de visualiser et de reconstituer les paquets et les logs capturés par des appliances Security Analytics.

J

               
TermeDescription :
système de tâchesLe système de tâches Security Analytics vous permet de lancer une tâche de longue durée et de continuer à utiliser d'autres parties de Security Analytics pendant son exécution. Vous pouvez non seulement surveiller la progression de la tâche, mais aussi recevoir des notifications lorsqu'elle se termine indiquant si elle a été réalisée avec succès ou si elle a échoué. Lorsque vous utilisez Security Analytics, vous pouvez ouvrir une vue rapide de vos tâches dans la barre d'outils.

L

                   
TermeDescription :
Live, moduleLe module Live est l'interface utilisateur de Security Analytics permettant d'accéder aux ressources disponibles via le système de gestion de contenu Live et de les gérer.
Log DecoderUn Log Decoder désigne un type de Decoder qui collecte des logs (et non des paquets). Il peut collecter quatre types de log différents, à savoir Syslog, ODBC, événements Windows et fichiers plats.

M

                                           
TermeDescription :
Malware AnalysisMalware Analysis est à la fois une appliance et un service colocalisé dans Security Analytics. Accessible par l'intermédiaire du module Investigation, ce service assure l'analyse automatisée des programmes malveillants.
Message DigestUtilise une fonction de hachage unidirectionnel pour convertir un nombre arbitraire d'octets en séquence d'octets de longueur fixe. Cela entre dans le cadre d'une solution de confidentialité des données.
métabase de donnéesLa base de données méta contient des éléments d'information extraits par Decoder ou Log Decoder à partir du flux de données brutes. Les parsers, les règles et les feeds peuvent générer des métaéléments.
ID MétaNombre utilisé de manière unique pour identifier un métaélément dans la base de données méta.
métadonnées ou métaélémentsUn Decoder reçoit et analyse des données brutes, processus au cours duquel sont créés des métaéléments (métadonnées).
métacléNom utilisé pour classer le type de chaque métaélément. Les méta clés communes incluent les suivantes : ip.src, time ou service.
métavaleurChaque métaélément contient une valeur. La valeur est ce que génère chaque parser, feed ou règle.
attribution de licence sur mesureL'attribution de licence sur mesure Security Analytics est une méthode d'attribution de licence reposant sur un débit quotidien de logs (SIEM) ou de paquets réseau (Network Monitoring et Network Malware), combinée à l'achat séparé du matériel nécessaire pour déployer le système et répondre aux besoins du client en matière de conservation de données.

N

               
TermeDescription :
Périphérique NetWitness ou NextGenBroker, Concentrator, Decoder, Log Decoder ou Log Collector RSA. Si vous voyez le terme « périphérique NextGen » ou « périphérique NetWitness », remplacez-le par « périphérique principal ».

O

                   
TermeDescription :
attribution de licence d'évaluation prête à l'emploiSecurity Analytics 10.5 inclut une licence d'évaluation prête à l'emploi par défaut qui permet au client d'utiliser toutes les fonctionnalités du produit pendant 90 jours. Cette période d'évaluation de 90 jours débute la première fois que l'interface utilisateur de Security Analytics est configurée et utilisée.
bannières de non-conformitéUne bannière rouge s'affiche lors de la connexion si votre licence a expiré ou si vous avez dépassé l'utilisation qui vous était attribuée. Une bannière rouge peut également s'afficher si votre licence présente des erreurs internes. Une bannière rouge ne peut pas être ignorée. Une bannière jaune s'affiche lors de la connexion au système si votre licence approche de sa date d'expiration ou de l'utilisation qui vous est attribuée. Vous pouvez passer outre la bannière jaune en cliquant sur le bouton Ignorer.

P

                       
TermeDescription :
ID de paquetNombre utilisé de manière unique pour identifier un paquet ou se connecter à une base de données de paquets.
base de données de paquetsLa base de données de paquets contient les données brutes capturées. Sur un Decoder, la base de données de paquets contient les paquets tels qu'ils sont capturés sur le réseau. Les Log Decoders utilisent la base de données de paquets pour stocker les logs bruts. Les données brutes stockées dans la base de données de paquets sont accessibles par ID de paquet. Toutefois, cet ID n'est généralement pas visible pour l'utilisateur final.
données personnelles« Selon la législation européenne, les données personnelles désignent des informations relatives à une personne identifiée ou identifiable, c'est-à-dire des renseignements au sujet d'une personne dont l'identité est manifeste ou peut être établie en recueillant des informations supplémentaires. » (Source : EU_DP_LAW_HANDBOOK)

R

                       
TermeDescription :
RSA Analytics WarehouseSystème informatique distribué, basé sur Hadoop, qui collecte, gère et permet l'analytique et le reporting sur des ensembles de données de sécurité à plus long terme, comme des mois ou des années. Le Warehouse peut être composé de trois nœuds ou plus, en fonction des exigences d'analytique, d'archivage et de résilience de l'organisation. Il requiert un service appelé Warehouse Connector pour collecter les métas et les événements à partir de Decoder et de Log Decoder et les écrire au format Avro dans un système informatique distribué et basé sur Hadoop.
Reports, moduleLe module Reports est l'interface utilisateur Security Analytics qui assure les fonctions de génération automatisée de rapports.
rôlesDans Security Analytics, les rôles déterminent ce que les utilisateurs sont autorisés à faire. Un rôle dispose d'autorisations et il convient d'attribuer un rôle à chaque utilisateur. Les autorisations de l'utilisateur dépendent alors de son rôle.

S

                                                       
TermeDescription :
Security Analytics Core (précédemment NextGen)La suite Security Analytics Core englobe les produits suivants : Decoder, Log Decoder, Concentrator, Broker, Archiver et Workbench.
Serveur Security AnalyticsServeur Web permettant le reporting, l'investigation, l'administration et d'autres aspects de l'interface pour les analystes. Permet également le reporting sur les données conservées dans le Warehouse.
données sensiblesDans certaines régions (comme l'Union européenne), les mandats réglementaires exigent que les systèmes informatiques intègrent un système de protection des données sensibles. Toutes les données pouvant décrire directement ou indirectement « Qui a fait quoi, et quand ? » peuvent être considérées comme des données d’identification personnelles ou sensibles.
serviceS'exécutant sur un hôte, un service effectue une fonction unique, comme la collecte de logs ou l'archivage de données. Parmi les services Security Analytics, citons Archiver, Broker, Concentrator, Decoder, Event Stream Analysis, Incident Management, IPDB Extractor, Log Collector, Log Decoder, Malware Analysis, Reporting Engine, Warehouse Connector et Workbench.
attribution de licence basée sur les servicesIl s'agit d'une licence Security Analytics permanente par service qui n'a pas de date d'expiration. La prise en charge de l'attribution de licence basée sur les services s'applique à toutes les appliances qui requièrent une licence.
sessionSur un Packet Decoder, une session correspond à un seul flux réseau logique. Par exemple, une connexion TCP/IP représente une session. Sur un Log Decoder, chaque événement de log représente une session. Chaque session contient des références à l'intégralité des ID de paquets et de méta concernés.
ID de sessionNombre unique utilisé pour identifier une entrée de la base de données de sessions.
Base de données de sessionLa base de données de sessions contient des informations qui lient le paquet et les métaéléments en sessions.
  
implémentation SIEMLors de l'implémentation d'un système de gestion des événements et des informations de sécurité (SIEM), la configuration de base Security Analytics inclut les composants suivants : Log Decoder, Concentrator, Broker, Event Stream Analysis (ESA) et le serveur Security Analytics.
attribution de licence par inscriptionLes licences d'accès à Security Analytics par inscription sont offertes pour une période spécifique pouvant s'étendre de 12 à 36 mois. Une fois attribuée, une licence par inscription ne peut être ni annulée ni rétrogradée.

T

               
TermeDescription :
données transitoiresDans Security Analytics, les données transitoires ne sont pas stockées sur le disque. Lorsqu'une métaclé est identifiée comme transitoire dans le fichier d'index personnalisé ou la vue Configuration des services, dans laquelle les analyseurs du service sont configurés, le Decoder et le Log Decoder n'enregistrent pas la métaclé sur le disque, mais la conservent en mémoire en vue de son analyse avant son écrasement.

V

               
TermeDescription :
hôte virtuel(Appliance formellement virtuelle) Machine virtuelle, désignée par un nom de domaine complet (FQDN)) ou une adresse IP, sur lequel un service Security Analytics est exécuté (c'est-à-dire le service d'appliance, le service Archiver, le service Broker, le service Concentrator, le service Decoder (paquets et logs), l'appliance Hybrid, le service Malware Analysis, le service Event Stream Analysis, le service Log Collector, le service Security Analytics Warehouse, le service Workbench, le service Reporting Engine et le service IPDB Extractor). Une instance virtuelle d’une appliance de Security Analytics.

W

                   
TermeDescription :
Warehouse ConnectorWarehouse Connector collecte des méta et des événements à partir des Decoders et les écrit au format Avro dans un système informatique distribué basé sur Hadoop. Vous pouvez configurer le Warehouse Connector en tant que service sur les Log Decoders ou Decoders existants. Il peut être également exécuté en tant qu'appliance virtuelle dans votre environnement virtuel.
événements WindowsRéservés aux Log Decoders, les événements Windows font référence à la méthode de collecte de Windows 2008 tandis que les fichiers plats sont obtenus via SFTP.

 

 

 

Previous Topic:Dashlets
Next Topic:Procédures
You are here
Table of Contents > Présentation de Security Analytics > Terminologie

Attachments

    Outcomes