Download - NetIQ Sentinel 7
NetIQ Sentinel 7Simplification des renseignements relatifs à la sécurité
Submergés par la mutation constante et la complexité croissante des environnements informatiques et des nouveaux profils de menace, les professionnels de la sécurité éprouvent de plus en plus de difficultés à répondre à la question « Quel est notre niveau de sécurité ? ». NetIQ® Sentinel™ 7 est une solution SIEM (gestion des informations et des événements de sécurité) simple mais puissante. Elle permet de protéger les ressources confidentielles, d’assurer la mise en conformité aux réglementations et de relever le défi des cycles de changement rapides des services informatiques.
Dans le présent livre blanc, vous allez découvrir comment NetIQ Sentinel 7 peut accroître votre visibilité quant aux menaces potentielles et vous aider à mieux les comprendre et à les traiter plus rapidement, sans requérir une formation approfondie ni une grande expertise, tout en vous permettant de contrôler la sécurité et d’obtenir les renseignements dont vous avez besoin pour garantir la sécurité de votre entreprise plus efficacement que jamais.
Livre blancSentinel
Table des matières page
Visibilité, protection et renseignements relatifs à la sécurité en temps réel . . . 1
Fonctionnalités clés (nouvelles et autres) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Architecture de NetIQ Sentinel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Processus de détection des anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Analyse des anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Réaction aux événements anormaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Gestion des conséquences d’événements anormaux . . . . . . . . . . . . . . . . . . . . . 11
Utilisation de la fenêtre temporelle défilante . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
NetIQ Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Gestion des workloads intelligents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Visibilité, protection et renseignements en temps réel . . . . . . . . . . . . . . . . . . . 18
À propos de NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1www.netiq.com
Visibilité, protection et renseignements relatifs à la sécurité en temps réelAujourd’hui, les infrastructures informatiques et les méthodes mises en oeuvre pour les exploiter subissent des transformations considérables. En raison de ces changements, de nombreuses difficultés surgissent et les défis se multiplient, risquant d’affecter gravement la capacité d’une entreprise à assurer la sécurité de sa structure.
Par exemple, les méthodes commerciales ont été complètement bouleversées par
l’émergence des technologies de virtualisation, de cloud computing et de mobilité . Grâce
à ces technologies, les utilisateurs ont pu adopter de nouvelles méthodes sensationnelles
pour agir et interagir avec les informations et avec les autres utilisateurs . Toutefois, ces
technologies ont également permis le développement d’entreprises interconnectées et
distribuées qui posent des difficultés croissantes aux professionnels chargés d’analyser la
sécurité des informations, tant en matière de garantie de la sécurité qu’en ce qui concerne les
contrôles appliqués à des fins de monitoring.
Pour renforcer leur sécurité globale et prendre des décisions avisées, les entreprises doivent
disposer d’informations sur les événements de sécurité et être en mesure de les analyser en
temps réel. Il leur faut trouver les moyens de simplifier les tâches complexes qu’impliquent la
gestion des grandes quantités de données de sécurité, le traitement des menaces sophistiquées
et l’application continue des contrôles de stratégies . Elles ont besoin d’une solution qui leur
permette d’identifier rapidement et précisément, dans une multitude de données d’événements,
celles qui correspondent à des événements critiques ou qui signalent des anomalies de sécurité .
NetIQ Sentinel 7 est une solution SIEM qui fournit des renseignements et offre une grande
visibilité sur les systèmes d’entreprise en temps réel, pour permettre aux structures comme
la vôtre de limiter les menaces de sécurité, d’améliorer les opérations et d’appliquer des
contrôles de stratégies prenant en charge les environnements physiques, virtuels et cloud .
Table des matières page
Visibilité, protection et renseignements relatifs à la sécurité en temps réel . . . 1
Fonctionnalités clés (nouvelles et autres) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Architecture de NetIQ Sentinel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Processus de détection des anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Analyse des anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Réaction aux événements anormaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Gestion des conséquences d’événements anormaux . . . . . . . . . . . . . . . . . . . . . 11
Utilisation de la fenêtre temporelle défilante . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
NetIQ Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Gestion des workloads intelligents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Visibilité, protection et renseignements en temps réel . . . . . . . . . . . . . . . . . . . 18
À propos de NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2
Livre blancNetIQ Sentinel 7
En associant les utilisateurs à des actions spécifiques sur l’ensemble des systèmes grâce à
la gestion des identités, Sentinel offre un outil de pointe pour le monitoring de l’activité des
utilisateurs . Que l’infrastructure informatique soit traditionnelle ou distribuée, Sentinel
détecte rapidement les activités anormales, ce qui en accélère le traitement, notamment
en cas de menace inconnue ou d’attaque de l’intérieur . Doté d’une base de sécurité
exceptionnelle, Sentinel vous permet de faire face aux menaces les plus avancées, d’optimiser
l’efficacité opérationnelle et de rationaliser les processus de conformité aux réglementations.
Fonctionnalités clés (nouvelles et autres)
Détection des anomalies : il est souvent difficile de déterminer si un événement présente un risque réel ou potentiel à examiner de plus près. Avec la fonctionnalité de détection d’anomalies de Sentinel, les incohérences de votre environnement sont identifiées automatiquement, sans que vous ayez à créer de règles de corrélation, présupposant que vous savez déjà exactement ce que vous cherchez. Lors d’une mise en oeuvre Sentinel, vous définissez des lignes de base spécifiques à votre environnement, qui optimisent immédiatement la précision des renseignements obtenus et accélèrent la détection des activités anormales. Ainsi, vous pouvez comparer les tendances existantes avec une ligne de base afin d’identifier des tendances d’activités historiques qui vous permettront de développer rapidement des modèles représentant les activités informatiques habituelles (état de « normalité ») qui à leur tour faciliteront la détection des nouvelles tendances potentiellement dangereuses. Vous pouvez également définir plus précisément les lignes de base de votre environnement et la détection des événements anormaux correspondants afin d’optimiser ces fonctionnalités. En outre, Sentinel affiche vos niveaux de sécurité et de conformité ainsi que leur évolution.
Options de déploiement flexibles : NetIQ est proposé sous forme d’appliance (par le biais d’une image ISO [International Organization for Standardization - Organisation internationale de normalisation]) sur les principaux hyperviseurs (VMware, HyperV et Xen), ainsi que sous forme de logiciel pouvant être installé sur SUSE Linux Enterprise Server et Red Hat Enterprise Server. Les modèles de licence et de déploiement de Sentinel sont très flexibles et vous pouvez déployer la gestion des logs ainsi que des informations et des événements de sécurité dans toute votre entreprise afin de répondre spécifiquement à ses besoins. Même dans le cas d’un déploiement hautement distribué, l’architecture de déploiement s’adapte à votre environnement grâce au mécanisme flexible proposé par Sentinel pour le transfert des événements et la recherche.
Architecture de stockage de haute performance : Sentinel utilise un niveau de stockage des événements efficace, basé sur les fichiers et optimisé pour l’archivage des événements à long terme. La zone de stockage des événements affiche un taux de compression de 10:1 et permet des recherches indexées très rapides. De plus, Sentinel vous offre la possibilité de synchroniser ou de déplacer vos données d’événements ou une partie d’entre elles vers une base de données relationnelle traditionnelle. Grâce aux améliorations considérables apportées aux fonctionnalités de recherche, les processus de recherche de données et de génération de rapports sont plus rapides. Avec l’architecture de stockage de Sentinel, vous n’avez plus besoin d’acquérir des licences de bases de données tierces, donc le coût d’investissement diminue.
Générateur graphique de règles : Sentinel vous permet de créer des règles de corrélation d’événements directement à partir des événements qu’il collecte dans votre environnement, sans avoir besoin d’apprendre un langage de script propriétaire ni de suivre une formation approfondie. En outre, avant de déployer les règles, vous avez la possibilité de les tester pour réduire le nombre de fausses alertes, améliorer les fonctionnalités de corrélation des événements et créer des fonctionnalités de détection d’exploits améliorées. Ainsi, le délai de rentabilisation de l’entreprise s’accroît sensiblement, tandis que le coût d’investissement diminue.
Sentinel détecte rapidement les activités anormales aussi bien dans les infrastructures informatiques distribuées que traditionnelles. Doté d’une base de sécurité exceptionnelle, Sentinel vous permet de faire face aux menaces les plus avancées, d’optimiser l’efficacité opérationnelle et de rationaliser les processus de conformité aux réglementations.
3www.netiq.com
Exploitation des identités : l’intégration prête à l’emploi avec NetIQ Identity Manager fait de Sentinel un produit unique sur le marché, car l’intégration transparente avec la gestion des identités permet d’associer les utilisateurs à des activités spécifiques dans toute l’entreprise. Les données de sécurité enrichies à l’aide des informations d’identité des utilisateurs et des administrateurs fournissent des renseignements bien plus précis sur les utilisateurs qui accèdent aux systèmes (qui, quand et où). En outre, grâce à l’intégration des identités aux données d’événements, Sentinel assure une protection efficace contre les menaces internes et offre un mécanisme de traitement des problèmes plus facile à exploiter. Sentinel propose également l’intégration des identités avec Microsoft Active Directory et, dans un avenir proche, inclura l’intégration avec d’autres produits de gestion des identités.
_______________________________________________________________
Procédures simplifiées de filtrage, de recherche et de création de rapports : en simplifiant la collecte des événements qui se produisent au sein de l’infrastructure informatique, Sentinel permet d’automatiser les tâches fastidieuses d’audit de conformité et de création de rapports. Il réduit aussi sensiblement la complexité, la durée et le coût de la recherche et de la préparation des données demandées par les auditeurs. Ainsi, la mise en conformité aux réglementations officielles et aux directives de l’industrie s’accélère.
Rapports packagés étendus et optimisés : Sentinel simplifie la création de rapports grâce à des fonctionnalités uniques : normalisation et regroupement des données, recherche rapide, rapports pré-intégrés et stratégies personnalisables. Un simple clic suffit pour générer à la volée des rapports relatifs aux résultats de recherche en temps réel. Vous pouvez donc obtenir des rapports immédiats sur les données de votre choix, sans passer par un modèle prédéfini qui limiterait votre marge de manoeuvre.
Produit unifié : Sentinel est un produit unifié qui regroupe des fonctionnalités SIEM et de gestion des logs.
Fonctionnalités clés de Sentinel (nouvelles et autres) :
Détection des anomalies
Options de déploiement flexibles
Architecture de stockage de haute performance
Générateur graphique de règles
Exploitation des identités
Procédures simplifiées de filtrage, de recherche et de création de rapports
Rapports packagés étendus et optimisés
Produit unifié
Fig. 1
En associant les utilisateurs à des actions spécifiques sur l’ensemble des systèmes grâce à la gestion des identités, NetIQ Sentinel offre un outil de pointe pour le monitoring de l’activité des utilisateurs.
4
Livre blancNetIQ Sentinel 7
Architecture de NetIQ Sentinel
Pour offrir aux entreprises les renseignements et la visibilité en temps réel dont elles ont
besoin quant aux événements informatiques, Sentinel se base essentiellement sur les
composants d’architecture suivants :
structure de gestion de sources d’événements ;
collecteurs et gestionnaires des collecteurs ;
bus de messages Sentinel iSCALE ;
workflows automatisés Sentinel iTRAC ;
moteur de détection d’anomalies ;
analyseur d’anomalies graphique et dynamique basé sur le Web ;
moteur de corrélation et générateur de règles ;
composants de recherche, de création de rapports et de stockage hautes performances.
_______________________________________________________________
Fig. 2
NetIQ Sentinel s’appuie sur des composants d’architecture essentiels pour offrir aux entreprises les renseignements et la visibilité en temps réel dont elles ont besoin quant aux événements informatiques.
5www.netiq.com
Structure de gestion de sources d’événements et collecteursNetIQ Sentinel facilite et rationalise le déploiement et l’intégration des sources de données
par le biais d’une structure centralisée de gestion de sources d’événements (ESM, Event
Source Management), qui simplifie la configuration, le déploiement, la gestion et le
monitoring des collecteurs de données pour un large éventail de systèmes . Ensemble, les
connecteurs et collecteurs Sentinel obtiennent des données de consignation brutes, puis
les analysent et proposent un flux d’événements enrichi, avant d’analyser les données
d’événements, de les corréler et de les envoyer vers la zone de stockage .
Les collecteurs et gestionnaires des collecteurs Sentinel sont des outils flexibles qui
permettent de surveiller pratiquement toute source de données susceptible d’affecter
la sécurité, y compris les périphériques, sources de référence, systèmes d’exploitation
et applications propriétaires ou personnalisés . Dotés d’une intelligence intégrée et
capables d’automatiser les processus manuels triviaux, les collecteurs répondent aux
règles et réagissent à des conditions spécifiques. La collecte et le filtrage d’événements
peuvent s’effectuer à distance ou localement . Par ailleurs, à l’exception de quelques rares
systèmes (les mainframes, notamment), les collecteurs fonctionnent sans agent, donc ils
peuvent recueillir les données à distance sans que le logiciel soit installé sur le système ou
périphérique surveillé .
NetIQ Sentinel est également doté d’intégrateurs qui assurent les échanges bidirectionnels
avec les systèmes de tickets de dépannage ou de service d’assistance tiers, ainsi qu’avec
les périphériques qui ne produisent pas de logs facilement exploitables, notamment les
mainframes .
Les collecteurs de Sentinel automatisent le processus de filtrage des événements : seuls
certains types d’événements sont transférés vers le moteur de détection d’anomalies ou le
moteur de corrélation pour analyse immédiate, tandis que tous les autres sont envoyés vers
la zone de stockage pour une analyse ultérieure. Pour vous permettre de mieux identifier
les événements et d’affiner leur classification, les collecteurs leur ajoutent notamment des
taxinomies d’événements et des données d’entreprise qui facilitent l’analyse de leur portée .
Bus de messages Sentinel iSCALELes échanges entre les différents composants de Sentinel sont assurés grâce à un bus de
messages iSCALE . Celui-ci assure l’intégration aisée avec NetIQ Identity Manager et d’autres
produits compatibles avec la communication par bus de messages .
Grâce à son potentiel d’évolutivité, l’architecture basée sur bus de messages de Sentinel
permet d’utiliser Sentinel sur des systèmes de grande taille sans trop affecter les
performances . Si le bus assure de si hautes performances, c’est parce que l’architecture de
Sentinel ne dépend pas d’une base de données relationnelle back-end, qui agirait comme
Les collecteurs de Sentinel automatisent le processus de filtrage des événements : seuls certains types d’événements sont transférés vers le moteur de détection d’anomalies ou le moteur de corrélation pour analyse immédiate, tandis que tous les autres sont envoyés vers la zone de stockage pour une analyse ultérieure.
6
Livre blancNetIQ Sentinel 7
goulot d’étranglement vis-à-vis des performances et de l’évolutivité économique . Au lieu
de cela, Sentinel collecte et filtre les événements rapidement en exploitant le traitement en
mémoire . Cela permet d’analyser des milliers d’événements par seconde, en temps réel . Avec
le bus, vous pouvez faire évoluer les composants individuellement, sans avoir à dupliquer
tout le système, ni à acquérir des licences de base de données supplémentaires ou du
matériel coûteux .
Workflows automatisés NetIQ Sentinel iTRACSystème intégré et automatisé de traitement des événements et des workflows, NetIQ
Sentinel iTRAC établit des workflows qui permettent d’identifier et de résoudre
automatiquement les incidents. Les workflows Sentinel iTRAC définissent les tâches
à effectuer lorsque des événements spécifiques se produisent. Vous pouvez ajuster ces
processus prédéterminés afin de les adapter aux meilleures pratiques de votre entreprise.
Un suivi d’audit est généré pour chaque activité réalisée afin de démontrer la conformité aux
réglementations . En outre, iTRAC vous permet de déléguer automatiquement des tâches à
des systèmes externes, par exemple des solutions de service d’assistance tierces .
Moteur de détection d’anomaliesLa détection d’anomalies est une nouvelle fonctionnalité proposée dans la version 7 de
Sentinel. Elle vous permet de définir des lignes de base spécifiques à votre environnement
informatique, afin que Sentinel vous fournisse des renseignements plus précis et détecte plus
rapidement les activités anormales . Vous pouvez également créer et consulter les tendances
d’activités historiques et développer des modèles représentant les activités informatiques
habituelles afin de détecter plus facilement les nouvelles tendances potentiellement
dangereuses . Vous avez aussi la possibilité de personnaliser les lignes de base de votre
environnement afin d’afficher vos niveaux de sécurité et de conformité et leur évolution,
de réduire le nombre de fausses alertes et de créer des rapports sur les événements anormaux .
Processus de détection des anomalies
À mesure que les données sont recueillies par Sentinel, les flux d’événements sont
convertis en flux statistiques multidimensionnels. Ces flux statistiques permettent
d’établir des modèles de comportements que le moteur exploite pour analyser les diverses
caractéristiques de la combinaison d’événements dans le but de détecter tout comportement
anormal .
Certaines solutions de création de lignes de base moins évoluées s’appuient sur des modèles
statistiques unidimensionnels, comme le décompte du nombre de connexions qui se
produisent pendant un certain laps de temps .
La détection d’anomalies est une nouvelle fonctionnalité proposée dans la version 7 de Sentinel. Elle vous permet de définir des lignes de base spécifiques à votre environnement informatique, afin que Sentinel vous fournisse des renseignements plus précis et détecte plus rapidement les activités anormales.
7www.netiq.com
En revanche, les modèles statistiques multidimensionnels créés par le moteur de détection
d’anomalies de Sentinel recueillent, regroupent et enregistrent un flux statistique continu
qui englobe de nombreux attributs des événements de connexion . Le moteur de détection
d’anomalies peut se baser sur ce flux pour comparer le nombre d’échecs de connexion au
nombre global de tentatives de connexion . Pour une analyse plus précise, il peut déterminer
si la majorité de ces échecs se sont produits sur certains serveurs de bases de données ou
sur d’autres périphériques particuliers. Grâce à la multiplicité des niveaux de classification,
les analystes de sécurité bénéficient de niveaux élevés de flexibilité et de contrôle lorsqu’ils
étudient les relations de cause à effet susceptibles d’expliquer une déviation, et disposent de
données qui peuvent s’avérer précieuses pour déterminer la nature exacte d’une menace .
Pour analyser diverses caractéristiques d’une anomalie à un instant donné, Sentinel
transforme les flux statistiques en un ensemble de flux chronologiques à une variable.
Ces flux chronologiques constituent des sortes de « tranches de temps ». Sentinel crée une
tranche de temps pour chaque attribut d’événement à prendre en compte et à analyser .
Par exemple, une première tranche de temps peut être créée pour les échecs de connexion,
une deuxième pour les tentatives de connexion, une troisième pour les suppressions de
fichiers, etc., chaque tranche de temps ayant une capacité d’une minute.
Dans cet exemple, pendant une période d’une minute commençant à 8 h, la première
tranche décompte le nombre d’événements d’échec de connexion qui se sont produits, la
deuxième tranche décompte le nombre total de tentatives de connexion qui se sont produites
et la troisième tranche décompte le nombre d’événements de suppression de fichiers qui
se sont produits . Au bout d’une minute, ces tranches pourraient par exemple indiquer les
chiffres 200, 500 et 15 . À 8 h 01, Sentinel crée une nouvelle série de tranches de temps qui
sera utilisée pour décompter les attributs d’événements qui se produisent pendant la minute
suivante. Ce processus se poursuit jusqu’à obtention d’un ensemble de tranches de temps
représentant le nombre de fois que chaque attribut d’événement s’est produit pendant
chaque minute de la journée.
NetIQ Sentinel peut combiner ces séries chronologiques à une variable (tranches) de
différentes manières avant de les intégrer à son moteur de détection d’anomalies . Votre
entreprise est alors en mesure d’analyser les anomalies en envisageant une quasi-infinité de
perspectives . Pour étudier une anomalie, vous pouvez combiner les attributs de votre choix,
et vous pouvez en ajouter ou en supprimer pour observer l’impact d’une telle modification
sur les résultats d’analyse . De plus, comme l’ensemble de séries chronologiques est constitué
d’intervalles de temps discrets répartis sur la journée, vous pouvez revenir à une tranche
antérieure et, à la demande, examiner une anomalie pendant la période souhaitée de la
journée, par exemple une période de cinq minutes, de 9 h à 9 h 05, ou une période de trente
minutes de 9 h 15 à 9 h 45.
Sentinel crée une tranche de temps pour chaque attribut d’événement à prendre en compte et à analyser. Par exemple, une première tranche de temps peut être créée pour les échecs de connexion, une deuxième pour les tentatives de connexion, une troisième pour les suppressions de fichiers, etc., chaque tranche de temps ayant une capacité d’une minute.
8
Livre blancNetIQ Sentinel 7
Appelée « résolution temporelle dynamique », cette fonctionnalité permet d’analyser les
comportements anormaux par le biais d’un nombre quasiment illimité de scénarios basés
sur différents attributs d’événements et fenêtres de temps . Avec Sentinel, cette fonctionnalité
de résolution temporelle dynamique est disponible à la fois pour les analyses historiques et
pour les analyses pratiquement en temps réel .
Analyse des anomalies
Le moteur de détection d’anomalies de Sentinel propose deux méthodes d’analyse des
anomalies : l’analyse visuelle et l’analyse automatisée . L’analyse visuelle s’effectue à l’aide
d’un tableau de bord optimisé et intuitif, conçu pour l’analyse des lignes de base et des
tendances . Cette méthode permet de surveiller les pics et les creux d’activité et de les
comparer au modèle de comportement normal .
Le tableau de bord de Sentinel vous donne le choix entre différentes techniques d’analyse
des séries chronologiques :
comparaison des activités sur plusieurs lignes de base pour contrôler la vitesse à laquelle s’effectuent les changements et les déviations par rapport au comportement « normal » (les lignes de base) ;
résolution temporelle dynamique et regroupement des lignes de base et des données actuelles pour détecter les tendances anormales ;
zoom sur des tendances proches ;
analyse des données statistiques, notamment les comparaisons historiques de lignes de base spécifiques pendant des périodes sélectionnées ;
exploration en profondeur des différentes catégories de statistiques et de lignes de base multiniveaux ;
transition transparente entre les données en temps réel et les données historiques ;
recréation de l’état historique du système au moment de l’anomalie, notamment les mesures calculées ;
étude des liens entre les utilisateurs, les ressources et les autres attributs qui contribuent aux anomalies, en contexte ;
exploration en profondeur des événements à l’origine des anomalies.
Aussi efficace soit-elle, l’analyse visuelle consiste à surveiller manuellement les activités
anormales, ce qui prend beaucoup de temps . Qui plus est, votre capacité à visualiser
mentalement toutes les dimensions et tous les attributs qui contribuent à une anomalie reste
limitée .
L’analyse visuelle s’effectue à l’aide d’un tableau de bord optimisé et intuitif, conçu pour l’analyse des lignes de base et des tendances.
9www.netiq.com
Outre les fonctionnalités d’analyse visuelle, Sentinel propose une méthode de détection
des anomalies automatisée qui permet d’identifier les déviations par rapport aux activités
normales par le biais d’une analyse à la fois plus souple, plus étendue et plus détaillée .
Avec NetIQ Sentinel, vous pouvez configurer des détecteurs d’anomalies automatisés afin de
surveiller des déviations spécifiques par rapport aux activités normales. Si une anomalie est
repérée par les détecteurs, une alerte se déclenche en temps réel . Vous pouvez alors passer
au tableau de bord pour l’analyser plus précisément .
Il est possible de créer des détecteurs automatiques dédiés au monitoring et à l’analyse de
trois types d’anomalies :
les anomalies ponctuelles ;
les anomalies contextuelles ;
les anomalies de comparaisons historiques.
Anomalies ponctuellesLes anomalies ponctuelles correspondent à de simples dépassements de seuils . Par exemple,
Sentinel pourrait vous envoyer une notification si le nombre d’échecs de connexion au réseau
PCI (Payment Card Industry - industrie des cartes de paiement) de votre entreprise dépasse
d’un certain pourcentage le seuil de 500 échecs de connexion pendant un intervalle d’une
heure .
Anomalies contextuellesLes anomalies contextuelles correspondent aux activités qui peuvent être normales dans
certaines situations et anormales dans d’autres situations . Grâce aux fonctionnalités de
détection d’anomalies contextuelles de Sentinel, vous pouvez rechercher des anomalies en
tenant compte du contexte de ces différentes situations . Par exemple, dans une entreprise
comptant 1 000 employés, il pourrait être normal de consigner 1 000 connexions entre 8 h
et 9 h. Toutefois, le nombre normal de connexions peut tomber à cent, ou en dessous, après
9 h. Le nombre normal de connexions après 17 h et pendant le week-end diminuerait encore
plus .
NetIQ Sentinel vous permet de configurer la détection des anomalies en fonction des seuils
contextuels souhaités pour ces différentes périodes . Avec une solution qui, contrairement à
Sentinel, ne contextualiserait pas la détection des anomalies, vous devriez définir des seuils
fixes qui s’avèreraient trop élevés ou trop bas. Si vous définissiez des seuils élevés pour tenir
compte des heures de pointe, les comportements anormaux qui se produiraient en basse
période ne seraient pas détectés. Si vous définissiez des seuils bas afin de détecter toutes les
anomalies potentielles, vous seriez submergé de fausses alertes pendant les heures de pointe .
NetIQ Sentinel vous permet de configurer la détection des anomalies en fonction des seuils contextuels souhaités pour ces différentes périodes.
10
Livre blancNetIQ Sentinel 7
Anomalies de comparaisons historiquesÉgalement appelées anomalies relatives ou par rapport à une ligne de base, les comparaisons
historiques vous permettent de comparer les activités qui se produisent à différents instants .
Par exemple, Sentinel peut vous alerter si le nombre de connexions pendant un intervalle
de 15 minutes augmente de 30 % par rapport aux intervalles de 15 minutes de l’heure
précédente . Sentinel pourrait aussi comparer le nombre de connexions effectuées le lundi
entre 9 h et 10 h, par rapport au nombre de connexion effectuées le lundi précédent entre 9 h
et 10 h . Avec les anomalies de comparaisons historiques, vous disposez de fonctionnalités
très flexibles pour comparer de manière régulière les activités qui s’effectuent pendant
différents laps de temps, ce qui renforce la capacité de votre entreprise à détecter toute
activité anormale .
Détecteurs d’anomalies automatiquesLe tableau de bord de Sentinel permet de créer facilement de nombreux détecteurs
d’anomalies automatiques. Il vous suffit de suivre les étapes de l’assistant pour nommer le
détecteur, sélectionner le type d’anomalie à détecter et configurer les paramètres souhaités
du détecteur : regroupement des intervalles minimums, types d’événements (tentatives
de connexion, échecs de connexion, suppressions de fichiers, etc.), seuils, valeurs de
comparaison historique (jours de la semaine ou heures, par exemple), etc. Lorsque vous
définissez un détecteur d’anomalies, vous avez la possibilité de spécifier des paramètres de
notification, par exemple pour indiquer la personne à notifier en cas d’anomalie et le délai
d’envoi d’une nouvelle notification en cas de réitération de l’anomalie.
Réaction aux événements anormaux
Quand une anomalie est identifiée dans Sentinel, un événement d’anomalie est généré
et réintégré au flux d’événements de Sentinel. Différents composants situés en aval
(notamment les couches de création de rapports et de stockage, le moteur de corrélation et
le workflow iTRAC qui peut envoyer des alertes et lancer différents processus de traitement)
sont alors en mesure de réagir à ces événements . Lorsqu’il reçoit un événement d’anomalie,
le moteur de corrélation peut donner à Sentinel plus de contexte de manière à assurer
l’évaluation des règles et l’identification des tendances définies. Ces tendances correspondent
à une combinaison de certains types d’événements anormaux et d’autres types d’événements
qui, ensemble, révèlent un comportement malveillant .
Quand une anomalie est identifiée dans Sentinel, un événement d’anomalie est généré et réintégré au flux d’événements de Sentinel.
11www.netiq.com
Gestion des conséquences d’événements anormaux
Dans certaines situations d’analyse ou de recherche portant sur les attaques, vous pouvez
vous retrouver submergé d’événements d’anomalies répétés . Sentinel intègre un mécanisme
de mise à jour et de gestion des conséquences visant à résoudre ce problème. Grâce à ce
mécanisme, Sentinel détecte que les occurrences suivantes de l’événement d’anomalie initial
ne sont que des conséquences du même événement, ce qui réduit le nombre d’événements
d’anomalies identiques générés par le moteur (pendant un laps de temps spécifié).
Analyse des anomalies via un outil graphique et dynamique basé sur le WebDans sa version 7, Sentinel est doté d’une interface Web complètement revue, à la fois
conviviale et efficace. L’interface propose un tout nouveau tableau de bord dédié aux
renseignements relatifs à la fonction Security Intelligence qui joue un rôle central pour
la gestion, le monitoring et l’analyse des activités .
Le tableau de bord vous permet de visualiser l’évolution de votre environnement grâce à
des vues graphiques représentant les données historiques et en temps réel . Au centre, une
courbe de tendance affiche les pics et les creux statistiques totaux faisant référence aux
activités réelles pour un détecteur d’anomalies automatique donné . La courbe est comparée
aux tendances normales et aux lignes de base correspondant à des périodes spécifiques.
À droite du graphique principal, des comparaisons graphiques et numériques des activités
réelles et normales sont répertoriées pour des attributs d’événements pertinents associés
à un détecteur d’anomalies spécifique (le nombre de tentatives de connexion, d’échecs de
connexion ou de fichiers supprimés, par exemple) pour ces périodes.
Des informations et statistiques supplémentaires relatives aux anomalies détectées sont
répertoriées sous le graphique principal . Ces éléments permettent d’accéder à d’autres
informations . Par exemple, le tableau de bord peut signaler une alerte concernant des
suppressions de fichiers. Si vous cliquez sur l’alerte, vous obtiendrez des détails tels que
les sources IP ou les ID utilisateur correspondant aux suppressions de fichiers.
Dans sa version 7, Sentinel est doté d’une interface Web complètement revue, à la fois conviviale et efficace.
12
Livre blancNetIQ Sentinel 7
Utilisation de la fenêtre temporelle défilante
Le tableau de bord de Sentinel est doté d’une fonctionnalité optimisée de fenêtre
temporelle défilante pour l’analyse. Optimisée par la fonctionnalité de génération de séries
chronologiques du produit, cette fenêtre vous permet de consulter des analyses graphiques
et statistiques de presque tous les intervalles de temps imaginables . La fenêtre temporelle
pourrait par exemple représenter les activités qui se sont produites au cours des 15 dernières
minutes. Pour voir les activités qui se sont déroulées auparavant, il vous suffit de cliquer sur
la barre de défilement de la fenêtre temporelle, à gauche, pour déplacer dynamiquement la
fenêtre dans le temps et inclure plusieurs minutes, heures, jours, semaines ou mois de plus.
Si vous cliquez sur la barre de défilement de droite et que vous la déplacez, l’heure de fin de
la fenêtre temporelle se modifie en temps réel. Vous pouvez ainsi la redéfinir sur une heure
donnée du passé, pour une analyse spécifique.
À mesure que la fenêtre temporelle avance et recule dans le temps, les analyses graphiques et
numériques du tableau de bord sont automatiquement mises à jour pour refléter les activités
associées à l’intervalle de temps de la fenêtre . De plus, le modèle de référence adapté à cet
intervalle de temps s’affiche. Grâce à cette fenêtre temporelle défilante, vous pouvez recréer
à tout moment et très facilement l’état des activités de votre environnement sur plusieurs
dimensions et pour l’intervalle de temps de votre choix, puis comparer ces activités au
modèle de comportement normal de l’environnement . Une telle fonctionnalité s’avère très
utile pour les analyses en temps réel, mais également pour les analyses d’expertise .
_______________________________________________________________
Optimisée par la fonctionnalité de génération de séries chronologiques de Sentinel, cette fenêtre temporelle vous permet de consulter des analyses graphiques et statistiques de presque tous les intervalles de temps imaginables.
Fig. 3
Des renseignements exploitables à portée de main en temps réel grâce aux tableaux de bord de sécurité de NetIQ Sentinel.
13www.netiq.com
Moteur de corrélation et générateur de règlesPour compléter le nouveau moteur de détection d’anomalies, Sentinel propose un moteur
de corrélation qui permet de définir des stratégies et des règles dédiées à la détection des
comportements malveillants connus . Les règles décrivent la façon dont les attaques connues
se manifestent dans un flux d’événements. À chaque fois que le bus de messages Sentinel
envoie des événements au moteur de corrélation, celui-ci évalue les événements selon les
critères des règles qui définissent les attaques. Ainsi, le moteur de corrélation détecte les
attaques en temps réel .
Les règles spécifient également les mesures à prendre en cas d’attaque. Une fois que
le moteur de corrélation a déterminé les mesures à prendre à la suite d’un événement
spécifique, il renvoie les informations à iTRAC via le bus de messages. Les processus de
notification et de traitement sont alors lancés automatiquement grâce aux workflows iTRAC.
La corrélation automatisée des événements accélère l’analyse des logs, ce qui vous permet de
consacrer plus de temps à la résolution d’incidents . En outre, elle limite les erreurs d’analyse
qui peuvent empêcher la détection d’un incident de sécurité ou de conformité .
Le moteur de corrélation Sentinel propose divers modèles basés sur des règles complexes
(règles imbriquées, en séquence ou cause à effet, par exemple) . Cela garantit une analyse
plus poussée du flux d’événements et facilite la création de règles correspondant aux besoins
spécifiques de votre entreprise.
Une autre fonctionnalité a été ajoutée à Sentinel dans la version 7 : le générateur graphique
de règles . Vous pouvez créer des règles de corrélation d’événements sans connaître le
langage de script Rule LG ni la taxinomie d’événements interne de Sentinel . En outre, elles
sont très rapides à créer, par simple glisser-déplacer des événements déjà collectés par
Sentinel dans votre environnement . Grâce au générateur graphique de règles, même les
utilisateurs les moins expérimentés peuvent tirer profit des performances du moteur de
corrélation. Par ailleurs, le générateur de règles simplifie le processus global de définition de
règles .
Vous pouvez également exploiter le générateur de règles pour tester les règles avant de les
déployer, de manière à réduire le nombre de fausses alertes, améliorer les fonctionnalités de
corrélation des événements et créer des fonctionnalités de détection d’exploits améliorées .
Le générateur graphique de règles permet de cibler rapidement les menaces les plus
importantes afin d’accélérer leur traitement et de limiter leur impact sur vos activités .
_______________________________________________________________
À chaque fois que le bus de messages Sentinel envoie des événements au moteur de corrélation, celui-ci évalue les événements selon les critères des règles qui définissent les attaques. Ainsi, le moteur de corrélation détecte les attaques en temps réel.
14
Livre blancNetIQ Sentinel 7
Création de rapports et stockage hautes performancesDans sa version 7, Sentinel est doté d’un stockage à deux niveaux qui combine des
fonctionnalités SIEM et de gestion des logs pour des performances optimales . Le stockage
de premier niveau est optimisé pour l’archivage des événements à long terme . Il exploite
une zone de stockage des événements basée sur les fichiers. Dotée d’un taux de compression
de 10:1, cette zone de stockage efficace prend en charge les recherches indexées et accélère
la plupart des tâches de création de rapports . Si nécessaire, il est également possible de
synchroniser le stockage basé sur les fichiers avec un stockage temporaire de second niveau.
Cela permet d’enregistrer les événements ou une partie d’entre eux dans une base de
données relationnelle traditionnelle .
Le nouveau niveau de stockage basé sur les fichiers exploite la conception de banque de
données de NetIQ Sentinel Log Manager . Il vous permet d’exploiter les investissements
existants en matière de stockage et de matériel, notamment le stockage de données en
ligne prêt à l’emploi, les SAN (sous-réseaux de stockage) et le stockage en réseau (NAS),
pour assurer la connectivité du stockage avec un taux d’événements élevé et être en mesure
d’accroître la capacité des archives . Ainsi, pour réduire les coûts associés au stockage de
données de consignation dans Sentinel, vous pouvez choisir d’enregistrer celles-ci sur votre
propre matériel .
Dans sa version 7, Sentinel est doté d’un stockage à deux niveaux qui combine des fonctionnalités SIEM et de gestion des logs pour des performances optimales.
Fig. 4
NetIQ Sentinel permet de créer des règles de corrélation par glisser-déplacer.
15www.netiq.com
Dans Sentinel, le niveau de stockage basé sur les fichiers assure un taux de compression des
données de 10:1 qui optimise la capacité de stockage et fournit les signatures des données
dans les logs de données collectés pour garantir leur intégrité . Les deux types de données
(données brutes et données d’événements optimisées) sont enregistrés dans le stockage basé
sur les fichiers de Sentinel. Le format des données brutes dépend du connecteur associé et de
la source d’événements, mais en général, elles contiennent des informations sur le message,
l’ID d’enregistrement et la source d’événements des données brutes ainsi que l’heure à
laquelle elles ont été reçues, le collecteur, l’ID de noeud du gestionnaire de collecteurs,
un hachage SHA-256 des données brutes, etc . Les données brutes sont enregistrées de
façon à assurer qu’aucun log n’est modifié. L’enregistrement des données dans un format
non modifié facilite la conformité aux réglementations liées aux expertises. Ici encore,
les données brutes sont compressées pour limiter l’espace de stockage requis .
Pour vous permettre de tirer un profit maximum des données collectées, Sentinel associe
les données brutes à un format enrichi qui les transforme en structures d’événements
informatives . Ces structures d’événements se composent de métadonnées de pertinence
commerciale, de normalisation et de taxinomie qui rendent les informations collectées plus
compréhensibles et plus faciles à utiliser . De même que les données brutes, les structures
d’événements sont compressées et enregistrées dans le stockage de premier niveau basé sur
les fichiers de Sentinel.
Dans Sentinel, des balises d’indexage sont générées pour tous les événements enregistrés, afin
de faciliter la recherche et la création de rapports sur les données collectées . Elles sont ensuite
enregistrées en tant qu’index d’événements dans le stockage basé sur les fichiers. Ces balises
d’indexage (ou index) se comportent comme des indicateurs de données . Ainsi, les recherches
effectuées permettent d’extraire des événements dont les champs correspondent aux critères de
recherche . Pour assurer des recherches rapides, les index d’événements ne sont pas compressés .
Sentinel propose également des stratégies de conservation des données à long terme
personnalisables : vous pouvez spécifier le délai de maintien des données collectées dans le
stockage local, et lorsque ce délai est atteint, elles migrent automatiquement vers le stockage
archivé. Vous pouvez aussi utiliser ces stratégies pour définir le délai de conservation des
données archivées . Une fois ce délai atteint, Sentinel les supprime .
Le stockage basé sur les fichiers permet d’effectuer des recherches rapides sur les données
d’événements et facilite la création de rapports, mais vous pouvez également avoir besoin d’un
stockage temporaire de second niveau s’appuyant sur une base de données relationnelle pour
créer des rapports plus complexes et plus sophistiqués . Dans Sentinel, les données du stockage
basé sur les fichiers et celles du stockage de base de données sont synchronisées en fonction
des besoins des rapports planifiés. Une fois que tous les rapports requis sont créés, les données
stockées dans la base de données ne sont plus nécessaires . Elles sont donc automatiquement
Pour vous permettre de tirer un profit maximum des données collectées, Sentinel associe les données brutes à un format enrichi qui les transforme en structures d’événements informatives.
16
Livre blancNetIQ Sentinel 7
éliminées pour limiter la taille de la base de données . Pour le stockage de base de données,
vous avez le choix entre une base de données intégrée à Sentinel et la synchronisation avec
une base de données relationnelle externe (Oracle ou MS-SQL, par exemple) .
Ce système de stockage de second niveau répond parfaitement aux termes d’un récent
rapport Gartner qui signale que « les fournisseurs SIEM doivent étendre leurs architectures
pour assurer une meilleure prise en charge des exigences disparates associées au monitoring
et à la collecte des données en temps réel, ainsi qu’aux analyses historiques . Leurs
infrastructures de collecte en temps réel devront peut-être être complétées par une seconde
banque de données qui sera massivement indexée et optimisée pour prendre en charge
les requêtes non planifiées, ainsi que le stockage à long terme des données relatives aux
événements, contextes et états historiques. » (Mark Nicolette, Joseph Feiman, Gartner Inc.
« SIEM Enables Enterprise Security Intelligence »)
En résumé, la nouvelle architecture de stockage de Sentinel combine le meilleur de Sentinel
Log Manager et des versions précédentes de Sentinel pour offrir :
des fonctionnalités de recherche beaucoup plus rapides ;
des performances de création de rapports considérablement améliorées ;
des fonctionnalités plus simples de création de rapports ;
une réduction de la taille du stockage requis et des coûts associés.
En outre, cette architecture offre les avantages des bases de données relationnelles en
matière de création de rapports, tout en maintenant les performances d’un stockage basé
sur les fichiers, et elle limite la place occupée par les données. De plus, Sentinel ne requiert
pas de base ou d’entrepôt de données externe et inclut un générateur de requêtes avancé et
convivial qui permet de visualiser l’environnement de sécurité de l’entreprise, de faire état
de la conformité aux réglementations et de gérer efficacement les risques opérationnels.
Proposant divers modèles de rapports prédéfinis, NetIQ Sentinel permet aussi de créer
rapidement des requêtes afin d’obtenir des rapports relatifs aux événements qui se sont
produits, dans le contexte des règles établies dans l’entreprise, des réglementations officielles
et des normes de l’industrie . Ces rapports permettent de décrire l’ensemble des événements
qui se produisent sur le réseau, ainsi que les niveaux de sécurité et de conformité globaux de
votre entreprise .
NetIQ Sentinel Log Manager
NetIQ Sentinel combine des fonctionnalités SIEM et de gestion des logs . Toutefois, si vous
n’avez pas besoin d’un produit SIEM complet, vous pouvez exploiter NetIQ Sentinel Log
Par ailleurs, Sentinel ne requiert pas de base ou d’entrepôt de données externe et inclut un générateur de requêtes avancé et convivial qui permet de visualiser l’environnement de sécurité de l’entreprise, de faire état de la conformité aux réglementations et de gérer efficacement les risques opérationnels.
17www.netiq.com
Manager . De même que Sentinel, Sentinel Log Manager permet de collecter, regrouper,
enregistrer, analyser et gérer efficacement les logs de données issus de vos systèmes et
applications . Cet outil exploite la structure éprouvée d’intégration des données de Sentinel,
ainsi que ses différents collecteurs dédiés à divers systèmes : bases de données, systèmes
d’exploitation, répertoires, pare-feux, systèmes de prévention et de détection d’intrus,
applications anti-virus, mainframes, serveurs Web et d’applications, etc .
NetIQ Sentinel Log Manager assure également l’indexation des données et la création de
rapports en un clic, ce qui simplifie la création de rapports dans le cadre de vos initiatives
d’audit et de conformité . Comme la solution intègre l’accès aux banques de données
archivées, vous pouvez lancer des requêtes et créer des rapports sur les données en ligne et
archivées en toute transparence, d’où des processus de conformité simplifiés et accélérés.
Avec l’intégration de Sentinel, Sentinel Log Manager vous offre un outil de gestion des
logs convivial qui fournit un processus clair et exhaustif de gestion de la sécurité, des
informations et des événements, en temps réel .
NetIQ Sentinel LinkDans les environnements distribués, il peut s’avérer extrêmement difficile de collecter
les logs d’événements et de les mettre en corrélation avec les informations de sécurité
essentielles . Grâce à une méthode innovante de transfert des données d’événements des logs
vers Sentinel, Sentinel Link assure des fonctions avancées de corrélation et d’intégration en
temps réel avec les solutions de gestion des identités .
Sentinel Link permet de transférer les logs depuis une instance distribuée de Sentinel Log
Manager vers Sentinel pour assurer le monitoring en temps réel, ou vers un autre déploiement
de Sentinel Log Manager à des fins de stockage et d’archivage centralisés des logs.
C’est cette fonctionnalité qui fait le lien entre la collecte des logs et la mise en corrélation des
événements de sécurité . Avec Sentinel Link, toutes les communications sont envoyées par
le biais de services Web sur HTTPS, et non à l’aide d’un protocole propriétaire peu fiable tel
que Syslog ou FTP . Ainsi, vous pouvez transmettre vos données de consignation sensibles de
façon fiable, sécurisée et compatible avec les pare-feux. Si le destinataire est déconnecté ou
injoignable en raison de problèmes sur le réseau, Sentinel Log Manager met les logs en cache
jusqu’à ce que la connexion soit établie, afin d’éviter toute perte de données. Sentinel Link
propose des options de configuration qui permettent de limiter les débits de données lorsque
la largeur de bande est étroite, ou de planifier les transferts de logs à des heures spécifiques
de la journée ou de la semaine, afin de profiter des heures creuses.
Avec l’intégration de Sentinel, Sentinel Log Manager vous offre un outil de gestion des logs convivial qui fournit un processus clair et exhaustif de gestion de la sécurité, des informations et des événements, en temps réel.
18
Livre blancNetIQ Sentinel 7
Gestion des workloads intelligents
La gestion des workloads intelligents (Intelligent Workload Management, IWM) permet
aux entreprises informatiques de gérer et d’optimiser leurs ressources de façon sécurisée,
conforme et basée sur des stratégies dans des environnements physiques, virtuels et cloud
afin de fournir des services métiers aux clients. L’approche différenciée de NetIQ en termes
de gestion des workloads intelligents, WorkloadIQ™, intègre des fonctionnalités de gestion
des systèmes et des identités dans un workload applicatif, optimisant ainsi la sécurité et la
portabilité de ce dernier dans les environnements physiques, virtuels et cloud . Composant
fondamental de WorkloadIQ, Sentinel assure le monitoring en temps réel des événements
associés à vos workloads . De plus, en écourtant les temps de réaction, il renforce la sécurité
de vos ressources informatiques dans vos environnements physiques, virtuels et cloud .
Visibilité, protection et renseignements en temps réel
Avec NetIQ Sentinel, vous bénéficiez d’une visibilité en temps réel sur vos activités
informatiques, ce qui vous permet de réduire le nombre de menaces de sécurité, d’améliorer
les opérations de sécurité et de mettre en oeuvre des contrôles de stratégies prenant en
charge les environnements physiques, virtuels et cloud, de façon automatique . Comme ce
produit atténue la complexité associée à la technologie SIEM traditionnelle et réduit les
obstacles à son adoption, toutes les entreprises peuvent désormais bénéficier d’une fonction
Security Intelligence . De plus, grâce aux renseignements en temps réel, à la détection
d’anomalies et au monitoring de l’activité des utilisateurs, qui permettent de mettre en place
un mécanisme d’avertissement prédictif et d’évaluer précisément les activités informatiques,
NetIQ Sentinel est un outil SIEM d’une efficacité sans précédent.
NetIQ Sentinel est le seul produit du marché qui assure une intégration transparente avec
la gestion des identités, de manière à associer les utilisateurs à des activités spécifiques sur
l’ensemble des environnements. Cela facilite l’identification des risques critiques, écourte
sensiblement les temps de réaction et permet de traiter rapidement les menaces et violations
de sécurité, avant qu’elles n’affectent les activités de l’entreprise . Grâce aux renseignements
fournis en temps réel par Sentinel, les entreprises peuvent se protéger contre les menaces les
plus avancées, améliorer les opérations de sécurité et appliquer des contrôles de stratégies
permanents .
Composant fondamental de WorkloadIQ, Sentinel assure le monitoring en temps réel des événements associés à vos workloads. De plus, en écourtant les temps de réaction, il renforce la sécurité de vos ressources informatiques dans vos environnements physiques, virtuels et cloud.
19www.netiq.com
À propos de NetIQ
NetIQ est un fournisseur international de logiciels informatiques d’entreprise dont les efforts
sont constamment axés sur la réussite de ses clients . NetIQ comble, à moindres frais, les
besoins de ses clients et partenaires en matière de protection des informations . De plus,
notre société gère les aspects complexes des environnements d’applications dynamiques
hautement distribués .
Notre portefeuille comprend des solutions automatisées et évolutives, spécialisées dans
la gestion des identités, de la sécurité et de la gouvernance, ainsi que des opérations
informatiques . Les entreprises sont ainsi en mesure de fournir, mesurer et gérer en toute
sécurité des services informatiques à l’échelle de leurs environnements physiques, virtuels et
cloud . Associées à notre approche pratique et orientée client de la résolution des problèmes
informatiques récurrents, ces solutions aident les entreprises à réduire les coûts, la
complexité et les risques .
Pour en savoir plus sur nos solutions logicielles reconnues par les professionnels du secteur,
visitez : www.netiq.com
NetIQ comble, à moindres frais, les besoins de ses clients et partenaires en matière de protection des informations. De plus, notre société gère les aspects complexes des environnements d’applications dynamiques hautement distribués.
562-FR1002-003 | Q | 06/16 | © 2016 NetIQ Corporation et ses filiales. Tous droits réservés. NetIQ, le logo NetIQ, Sentinel et WorkloadIQ sont des marques commerciales ou des marques déposées de NetIQ Corporation aux États-Unis. Tous les autres noms de produits et d’entreprises peuvent être des marques commerciales appartenant à leur propriétaire respectif.
www.netiq.com
NetIQFranceTel: +33 (0) 1 55 70 30 13
Siège social au Royaume-UniRoyaume-UniTel: +44 (0) 1635 565200
[email protected]/communitieswww.netiq.com
Pour obtenir la liste complète de nos bureaux d’Amérique du Nord, d’Europe, du Moyen-Orient, d’Afrique,d’Asie-Pacifique et d’Amérique latine,visitez la page : www.netiq.com/contacts.
www.netiq.com