netiq sentinel 7

NetIQ Sentinel 7Simplification des renseignements relatifs à la sécurité

Submergés par la mutation constante et la complexité croissante des environnements informatiques et des nouveaux profils de menace, les professionnels de la sécurité éprouvent de plus en plus de difficultés à répondre à la question « Quel est notre niveau de sécurité ? ». NetIQ® Sentinel™ 7 est une solution SIEM (gestion des informations et des événements de sécurité) simple mais puissante. Elle permet de protéger les ressources confidentielles, d’assurer la mise en conformité aux réglementations et de relever le défi des cycles de changement rapides des services informatiques.

Dans le présent livre blanc, vous allez découvrir comment NetIQ Sentinel 7 peut accroître votre visibilité quant aux menaces potentielles et vous aider à mieux les comprendre et à les traiter plus rapidement, sans requérir une formation approfondie ni une grande expertise, tout en vous permettant de contrôler la sécurité et d’obtenir les renseignements dont vous avez besoin pour garantir la sécurité de votre entreprise plus efficacement que jamais.

Livre blancSentinel

Table des matières page

Visibilité, protection et renseignements relatifs à la sécurité en temps réel . . . 1

Fonctionnalités clés (nouvelles et autres) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Architecture de NetIQ Sentinel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Processus de détection des anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Analyse des anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Réaction aux événements anormaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Gestion des conséquences d’événements anormaux . . . . . . . . . . . . . . . . . . . . . 11

Utilisation de la fenêtre temporelle défilante . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

NetIQ Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Gestion des workloads intelligents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Visibilité, protection et renseignements en temps réel . . . . . . . . . . . . . . . . . . . 18

À propos de NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1www.netiq.com

Visibilité, protection et renseignements relatifs à la sécurité en temps réelAujourd’hui, les infrastructures informatiques et les méthodes mises en oeuvre pour les exploiter subissent des transformations considérables. En raison de ces changements, de nombreuses difficultés surgissent et les défis se multiplient, risquant d’affecter gravement la capacité d’une entreprise à assurer la sécurité de sa structure.

Par exemple, les méthodes commerciales ont été complètement bouleversées par

l’émergence des technologies de virtualisation, de cloud computing et de mobilité . Grâce

à ces technologies, les utilisateurs ont pu adopter de nouvelles méthodes sensationnelles

pour agir et interagir avec les informations et avec les autres utilisateurs . Toutefois, ces

technologies ont également permis le développement d’entreprises interconnectées et

distribuées qui posent des difficultés croissantes aux professionnels chargés d’analyser la

sécurité des informations, tant en matière de garantie de la sécurité qu’en ce qui concerne les

contrôles appliqués à des fins de monitoring.

Pour renforcer leur sécurité globale et prendre des décisions avisées, les entreprises doivent

disposer d’informations sur les événements de sécurité et être en mesure de les analyser en

temps réel. Il leur faut trouver les moyens de simplifier les tâches complexes qu’impliquent la

gestion des grandes quantités de données de sécurité, le traitement des menaces sophistiquées

et l’application continue des contrôles de stratégies . Elles ont besoin d’une solution qui leur

permette d’identifier rapidement et précisément, dans une multitude de données d’événements,

celles qui correspondent à des événements critiques ou qui signalent des anomalies de sécurité .

NetIQ Sentinel 7 est une solution SIEM qui fournit des renseignements et offre une grande

visibilité sur les systèmes d’entreprise en temps réel, pour permettre aux structures comme

la vôtre de limiter les menaces de sécurité, d’améliorer les opérations et d’appliquer des

contrôles de stratégies prenant en charge les environnements physiques, virtuels et cloud .

Table des matières page

Visibilité, protection et renseignements relatifs à la sécurité en temps réel . . . 1

Fonctionnalités clés (nouvelles et autres) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Architecture de NetIQ Sentinel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Processus de détection des anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Analyse des anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Réaction aux événements anormaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Gestion des conséquences d’événements anormaux . . . . . . . . . . . . . . . . . . . . . 11

Utilisation de la fenêtre temporelle défilante . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

NetIQ Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Gestion des workloads intelligents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Visibilité, protection et renseignements en temps réel . . . . . . . . . . . . . . . . . . . 18

À propos de NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

http://www.netiq.com

2

Livre blancNetIQ Sentinel 7

En associant les utilisateurs à des actions spécifiques sur l’ensemble des systèmes grâce à

la gestion des identités, Sentinel offre un outil de pointe pour le monitoring de l’activité des

utilisateurs . Que l’infrastructure informatique soit traditionnelle ou distribuée, Sentinel

détecte rapidement les activités anormales, ce qui en accélère le traitement, notamment

en cas de menace inconnue ou d’attaque de l’intérieur . Doté d’une base de sécurité

exceptionnelle, Sentinel vous permet de faire face aux menaces les plus avancées, d’optimiser

l’efficacité opérationnelle et de rationaliser les processus de conformité aux réglementations.

Fonctionnalités clés (nouvelles et autres)

Détection des anomalies : il est souvent difficile de déterminer si un événement présente un risque réel ou potentiel à examiner de plus près. Avec la fonctionnalité de détection d’anomalies de Sentinel, les incohérences de votre environnement sont identifiées automatiquement, sans que vous ayez à créer de règles de corrélation, présupposant que vous savez déjà exactement ce que vous cherchez. Lors d’une mise en oeuvre Sentinel, vous définissez des lignes de base spécifiques à votre environnement, qui optimisent immédiatement la précision des renseignements obtenus et accélèrent la détection des activités anormales. Ainsi, vous pouvez comparer les tendances existantes avec une ligne de base afin d’identifier des tendances d’activités historiques qui vous permettront de développer rapidement des modèles représentant les activités informatiques habituelles (état de « normalité ») qui à leur tour faciliteront la détection des nouvelles tendances potentiellement dangereuses. Vous pouvez également définir plus précisément les lignes de base de votre environnement et la détection des événements anormaux correspondants afin d’optimiser ces fonctionnalités. En outre, Sentinel affiche vos niveaux de sécurité et de conformité ainsi que leur évolution.

Options de déploiement flexibles : NetIQ est proposé sous forme d’appliance (par le biais d’une image ISO [International Organization for Standardization - Organisation internationale de normalisation]) sur les principaux hyperviseurs (VMware, HyperV et Xen), ainsi que sous forme de logiciel pouvant être installé sur SUSE Linux Enterprise Server et Red Hat Enterprise Server. Les modèles de licence et de déploiement de Sentinel sont très flexibles et vous pouvez déployer la gestion des logs ainsi que des informations et des événements de sécurité dans toute votre entreprise afin de répondre spécifiquement à ses besoins. Même dans le cas d’un déploiement hautement distribué, l’architecture de déploiement s’adapte à votre environnement grâce au mécanisme flexible proposé par Sentinel pour le transfert des événements et la recherche.

Architecture de stockage de haute performance : Sentinel utilise un niveau de stockage des événements efficace, basé sur les fichiers et optimisé pour l’archivage des événements à long terme. La zone de stockage des événements affiche un taux de compression de 10:1 et permet des recherches indexées très rapides. De plus, Sentinel vous offre la possibilité de synchroniser ou de déplacer vos données d’événements ou une partie d’entre elles vers une base de données relationnelle traditionnelle. Grâce aux améliorations considérables apportées aux fonctionnalités de recherche, les processus de recherche de données et de génération de rapports sont plus rapides. Avec l’architecture de stockage de Sentinel, vous n’avez plus besoin d’acquérir des licences de bases de données tierces, donc le coût d’investissement diminue.

Générateur graphique de règles : Sentinel vous permet de créer des règles de corrélation d’événements directement à partir des événements qu’il collecte dans votre environnement, sans avoir besoin d’apprendre un langage de script propriétaire ni de suivre une formation approfondie. En outre, avant de déployer les règles, vous avez la possibilité de les tester pour réduire le nombre de fausses alertes, améliorer les fonctionnalités de corrélation des événements et créer des fonctionnalités de détection d’exploits améliorées. Ainsi, le délai de rentabilisation de l’entreprise s’accroît sensiblement, tandis que le coût d’investissement diminue.

Sentinel détecte rapidement les activités anormales aussi bien dans les infrastructures informatiques distribuées que traditionnelles. Doté d’une base de sécurité exceptionnelle, Sentinel vous permet de faire face aux menaces les plus avancées, d’optimiser l’efficacité opérationnelle et de rationaliser les processus de conformité aux réglementations.

3www.netiq.com

Exploitation des identités : l’intégration prête à l’emploi avec NetIQ Identity Manager fait de Sentinel un produit unique sur le marché, car l’intégration transparente avec la gestion des identités permet d’associer les utilisateurs à des activités spécifiques dans toute l’entreprise. Les données de sécurité enrichies à l’aide des informations d’identité des utilisateurs et des administrateurs fournissent des renseignements bien plus précis sur les utilisateurs qui accèdent aux systèmes (qui, quand et où). En outre, grâce à l’intégration des identités aux données d’événements, Sentinel assure une protection efficace contre les menaces internes et offre un mécanisme de traitement des problèmes plus facile à exploiter. Sentinel propose également l’intégration des identités avec Microsoft Active Directory et, dans un avenir proche, inclura l’intégration avec d’autres produits de gestion des identités.

_______________________________________________________________

Procédures simplifiées de filtrage, de recherche et de création de rapports : en simplifiant la collecte des événements qui se produisent au sein de l’infrastructure informatique, Sentinel permet d’automatiser les tâches fastidieuses d’audit de conformité et de création de rapports. Il réduit aussi sensiblement la complexité, la durée et le coût de la recherche et de la préparation des données demandées par les auditeurs. Ainsi, la mise en conformité aux réglementations officielles et aux directives de l’industrie s’accélère.

Rapports packagés étendus et optimisés : Sentinel simplifie la création de rapports grâce à des fonctionnalités uniques : normalisation et regroupement des données, recherche rapide, rapports pré-intégrés et stratégies personnalisables. Un simple clic suffit pour générer à la volée des rapports relatifs aux résultats de recherche en temps réel. Vous pouvez donc obtenir des rapports immédiats sur les données de votre choix, sans passer par un modèle prédéfini qui limiterait votre marge de manoeuvre.

Produit unifié : Sentinel est un produit unifié qui regroupe des fonctionnalités SIEM et de gestion des logs.

Fonctionnalités clés de Sentinel (nouvelles et autres) :

Détection des anomalies

Options de déploiement flexibles

Architecture de stockage de haute performance

Générateur graphique de règles

Exploitation des identités

Procédures simplifiées de filtrage, de recherche et de création de rapports

Rapports packagés étendus et optimisés

Produit unifié

Fig. 1

En associant les utilisateurs à des actions spécifiques sur l’ensemble des systèmes grâce à la gestion des identités, NetIQ Sentinel offre un outil de pointe pour le monitoring de l’activité des utilisateurs.


4


Architecture de NetIQ Sentinel

Pour offrir aux entreprises les renseignements et la visibilité en temps réel dont elles ont

besoin quant aux événements informatiques, Sentinel se base essentiellement sur les

composants d’architecture suivants :

structure de gestion de sources d’événements ;

collecteurs et gestionnaires des collecteurs ;

bus de messages Sentinel iSCALE ;

workflows automatisés Sentinel iTRAC ;

moteur de détection d’anomalies ;

analyseur d’anomalies graphique et dynamique basé sur le Web ;

moteur de corrélation et générateur de règles ;

composants de recherche, de création de rapports et de stockage hautes performances.

_______________________________________________________________

Fig. 2

NetIQ Sentinel s’appuie sur des composants d’architecture essentiels pour offrir aux entreprises les renseignements et la visibilité en temps réel dont elles ont besoin quant aux événements informatiques.

5www.netiq.com

Structure de gestion de sources d’événements et collecteursNetIQ Sentinel facilite et rationalise le déploiement et l’intégration des sources de données

par le biais d’une structure centralisée de gestion de sources d’événements (ESM, Event

Source Management), qui simplifie la configuration, le déploiement, la gestion et le

monitoring des collecteurs de données pour un large éventail de systèmes . Ensemble, les

connecteurs et collecteurs Sentinel obtiennent des données de consignation brutes, puis

les analysent et proposent un flux d’événements enrichi, avant d’analyser les données

d’événements, de les corréler et de les envoyer vers la zone de stockage .

Les collecteurs et gestionnaires des collecteurs Sentinel sont des outils flexibles qui

permettent de surveiller pratiquement toute source de données susceptible d’affecter

la sécurité, y compris les périphériques, sources de référence, systèmes d’exploitation

et applications propriétaires ou personnalisés . Dotés d’une intelligence intégrée et

capables d’automatiser les processus manuels triviaux, les collecteurs répondent aux

règles et réagissent à des conditions spécifiques. La collecte et le filtrage d’événements

peuvent s’effectuer à distance ou localement . Par ailleurs, à l’exception de quelques rares

systèmes (les mainframes, notamment), les collecteurs fonctionnent sans agent, donc ils

peuvent recueillir les données à distance sans que le logiciel soit installé sur le système ou

périphérique surveillé .

NetIQ Sentinel est également doté d’intégrateurs qui assurent les échanges bidirectionnels

avec les systèmes de tickets de dépannage ou de service d’assistance tiers, ainsi qu’avec

les périphériques qui ne produisent pas de logs facilement exploitables, notamment les

mainframes .

Les collecteurs de Sentinel automatisent le processus de filtrage des événements : seuls

certains types d’événements sont transférés vers le moteur de détection d’anomalies ou le

moteur de corrélation pour analyse immédiate, tandis que tous les autres sont envoyés vers

la zone de stockage pour une analyse ultérieure. Pour vous permettre de mieux identifier

les événements et d’affiner leur classification, les collecteurs leur ajoutent notamment des

taxinomies d’événements et des données d’entreprise qui facilitent l’analyse de leur portée .

Bus de messages Sentinel iSCALELes échanges entre les différents composants de Sentinel sont assurés grâce à un bus de

messages iSCALE . Celui-ci assure l’intégration aisée avec NetIQ Identity Manager et d’autres

produits compatibles avec la communication par bus de messages .

Grâce à son potentiel d’évolutivité, l’architecture basée sur bus de messages de Sentinel

permet d’utiliser Sentinel sur des systèmes de grande taille sans trop affecter les

performances . Si le bus assure de si hautes performances, c’est parce que l’architecture de

Sentinel ne dépend pas d’une base de données relationnelle back-end, qui agirait comme

Les collecteurs de Sentinel automatisent le processus de filtrage des événements : seuls certains types d’événements sont transférés vers le moteur de détection d’anomalies ou le moteur de corrélation pour analyse immédiate, tandis que tous les autres sont envoyés vers la zone de stockage pour une analyse ultérieure.


6


goulot d’étranglement vis-à-vis des performances et de l’évolutivité économique . Au lieu

de cela, Sentinel collecte et filtre les événements rapidement en exploitant le traitement en

mémoire . Cela permet d’analyser des milliers d’événements par seconde, en temps réel . Avec

le bus, vous pouvez faire évoluer les composants individuellement, sans avoir à dupliquer

tout le système, ni à acquérir des licences de base de données supplémentaires ou du

matériel coûteux .

Workflows automatisés NetIQ Sentinel iTRACSystème intégré et automatisé de traitement des événements et des workflows, NetIQ

Sentinel iTRAC établit des workflows qui permettent d’identifier et de résoudre

automatiquement les incidents. Les workflows Sentinel iTRAC définissent les tâches

à effectuer lorsque des événements spécifiques se produisent. Vous pouvez ajuster ces

processus prédéterminés afin de les adapter aux meilleures pratiques de votre entreprise.

Un suivi d’audit est généré pour chaque activité réalisée afin de démontrer la conformité aux

réglementations . En outre, iTRAC vous permet de déléguer automatiquement des tâches à

des systèmes externes, par exemple des solutions de service d’assistance tierces .

Moteur de détection d’anomaliesLa détection d’anomalies est une nouvelle fonctionnalité proposée dans la version 7 de

Sentinel. Elle vous permet de définir des lignes de base spécifiques à votre environnement

informatique, afin que Sentinel vous fournisse des renseignements plus précis et détecte plus

rapidement les activités anormales . Vous pouvez également créer et consulter les tendances

d’activités historiques et développer des modèles représentant les activités informatiques

habituelles afin de détecter plus facilement les nouvelles tendances potentiellement

dangereuses . Vous avez aussi la possibilité de personnaliser les lignes de base de votre

environnement afin d’afficher vos niveaux de sécurité et de conformité et leur évolution,

de réduire le nombre de fausses alertes et de créer des rapports sur les événements anormaux .

Processus de détection des anomalies

À mesure que les données sont recueillies par Sentinel, les flux d’événements sont

convertis en flux statistiques multidimensionnels. Ces flux statistiques permettent

d’établir des modèles de comportements que le moteur exploite pour analyser les diverses

caractéristiques de la combinaison d’événements dans le but de détecter tout comportement

anormal .

Certaines solutions de création de lignes de base moins évoluées s’appuient sur des modèles

statistiques unidimensionnels, comme le décompte du nombre de connexions qui se

produisent pendant un certain laps de temps .

La détection d’anomalies est une nouvelle fonctionnalité proposée dans la version 7 de Sentinel. Elle vous permet de définir des lignes de base spécifiques à votre environnement informatique, afin que Sentinel vous fournisse des renseignements plus précis et détecte plus rapidement les activités anormales.

7www.netiq.com

En revanche, les modèles statistiques multidimensionnels créés par le moteur de détection

d’anomalies de Sentinel recueillent, regroupent et enregistrent un flux statistique continu

qui englobe de nombreux attributs des événements de connexion . Le moteur de détection

d’anomalies peut se baser sur ce flux pour comparer le nombre d’échecs de connexion au

nombre global de tentatives de connexion . Pour une analyse plus précise, il peut déterminer

si la majorité de ces échecs se sont produits sur certains serveurs de bases de données ou

sur d’autres périphériques particuliers. Grâce à la multiplicité des niveaux de classification,

les analystes de sécurité bénéficient de niveaux élevés de flexibilité et de contrôle lorsqu’ils

étudient les relations de cause à effet susceptibles d’expliquer une déviation, et disposent de

données qui peuvent s’avérer précieuses pour déterminer la nature exacte d’une menace .

Pour analyser diverses caractéristiques d’une anomalie à un instant donné, Sentinel

transforme les flux statistiques en un ensemble de flux chronologiques à une variable.

Ces flux chronologiques constituent des sortes de « tranches de temps ». Sentinel crée une

tranche de temps pour chaque attribut d’événement à prendre en compte et à analyser .

Par exemple, une première tranche de temps peut être créée pour les échecs de connexion,

une deuxième pour les tentatives de connexion, une troisième pour les suppressions de

fichiers, etc., chaque tranche de temps ayant une capacité d’une minute.

Dans cet exemple, pendant une période d’une minute commençant à 8 h, la première

tranche décompte le nombre d’événements d’échec de connexion qui se sont produits, la

deuxième tranche décompte le nombre total de tentatives de connexion qui se sont produites

et la troisième tranche décompte le nombre d’événements de suppression de fichiers qui

se sont produits . Au bout d’une minute, ces tranches pourraient par exemple indiquer les

chiffres 200, 500 et 15 . À 8 h 01, Sentinel crée une nouvelle série de tranches de temps qui

sera utilisée pour décompter les attributs d’événements qui se produisent pendant la minute

suivante. Ce processus se poursuit jusqu’à obtention d’un ensemble de tranches de temps

représentant le nombre de fois que chaque attribut d’événement s’est produit pendant

chaque minute de la journée.

NetIQ Sentinel peut combiner ces séries chronologiques à une variable (tranches) de

différentes manières avant de les intégrer à son moteur de détection d’anomalies . Votre

entreprise est alors en mesure d’analyser les anomalies en envisageant une quasi-infinité de

perspectives . Pour étudier une anomalie, vous pouvez combiner les attributs de votre choix,

et vous pouvez en ajouter ou en supprimer pour observer l’impact d’une telle modification

sur les résultats d’analyse . De plus, comme l’ensemble de séries chronologiques est constitué

d’intervalles de temps discrets répartis sur la journée, vous pouvez revenir à une tranche

antérieure et, à la demande, examiner une anomalie pendant la période souhaitée de la

journée, par exemple une période de cinq minutes, de 9 h à 9 h 05, ou une période de trente

minutes de 9 h 15 à 9 h 45.

Sentinel crée une tranche de temps pour chaque attribut d’événement à prendre en compte et à analyser. Par exemple, une première tranche de temps peut être créée pour les échecs de connexion, une deuxième pour les tentatives de connexion, une troisième pour les suppressions de fichiers, etc., chaque tranche de temps ayant une capacité d’une minute.


8


Appelée « résolution temporelle dynamique », cette fonctionnalité permet d’analyser les

comportements anormaux par le biais d’un nombre quasiment illimité de scénarios basés

sur différents attributs d’événements et fenêtres de temps . Avec Sentinel, cette fonctionnalité

de résolution temporelle dynamique est disponible à la fois pour les analyses historiques et

pour les analyses pratiquement en temps réel .

Analyse des anomalies

Le moteur de détection d’anomalies de Sentinel propose deux méthodes d’analyse des

anomalies : l’analyse visuelle et l’analyse automatisée . L’analyse visuelle s’effectue à l’aide

d’un tableau de bord optimisé et intuitif, conçu pour l’analyse des lignes de base et des

tendances . Cette méthode permet de surveiller les pics et les creux d’activité et de les

comparer au modèle de comportement normal .

Le tableau de bord de Sentinel vous donne le choix entre différentes techniques d’analyse

des séries chronologiques :

comparaison des activités sur plusieurs lignes de base pour contrôler la vitesse à laquelle s’effectuent les changements et les déviations par rapport au comportement « normal » (les lignes de base) ;

résolution temporelle dynamique et regroupement des lignes de base et des données actuelles pour détecter les tendances anormales ;

zoom sur des tendances proches ;

analyse des données statistiques, notamment les comparaisons historiques de lignes de base spécifiques pendant des périodes sélectionnées ;

exploration en profondeur des différentes catégories de statistiques et de lignes de base multiniveaux ;

transition transparente entre les données en temps réel et les données historiques ;

recréation de l’état historique du système au moment de l’anomalie, notamment les mesures calculées ;

étude des liens entre les utilisateurs, les ressources et les autres attributs qui contribuent aux anomalies, en contexte ;

exploration en profondeur des événements à l’origine des anomalies.

Aussi efficace soit-elle, l’analyse visuelle consiste à surveiller manuellement les activités

anormales, ce qui prend beaucoup de temps . Qui plus est, votre capacité à visualiser

mentalement toutes les dimensions et tous les attributs qui contribuent à une anomalie reste

limitée .

L’analyse visuelle s’effectue à l’aide d’un tableau de bord optimisé et intuitif, conçu pour l’analyse des lignes de base et des tendances.

9www.netiq.com

Outre les fonctionnalités d’analyse visuelle, Sentinel propose une méthode de détection

des anomalies automatisée qui permet d’identifier les déviations par rapport aux activités

normales par le biais d’une analyse à la fois plus souple, plus étendue et plus détaillée .

Avec NetIQ Sentinel, vous pouvez configurer des détecteurs d’anomalies automatisés afin de

surveiller des déviations spécifiques par rapport aux activités normales. Si une anomalie est

repérée par les détecteurs, une alerte se déclenche en temps réel . Vous pouvez alors passer

au tableau de bord pour l’analyser plus précisément .

Il est possible de créer des détecteurs automatiques dédiés au monitoring et à l’analyse de

trois types d’anomalies :

les anomalies ponctuelles ;

les anomalies contextuelles ;

les anomalies de comparaisons historiques.

Anomalies ponctuellesLes anomalies ponctuelles correspondent à de simples dépassements de seuils . Par exemple,

Sentinel pourrait vous envoyer une notification si le nombre d’échecs de connexion au réseau

PCI (Payment Card Industry - industrie des cartes de paiement) de votre entreprise dépasse

d’un certain pourcentage le seuil de 500 échecs de connexion pendant un intervalle d’une

heure .

Anomalies contextuellesLes anomalies contextuelles correspondent aux activités qui peuvent être normales dans

certaines situations et anormales dans d’autres situations . Grâce aux fonctionnalités de

détection d’anomalies contextuelles de Sentinel, vous pouvez rechercher des anomalies en

tenant compte du contexte de ces différentes situations . Par exemple, dans une entreprise

comptant 1 000 employés, il pourrait être normal de consigner 1 000 connexions entre 8 h

et 9 h. Toutefois, le nombre normal de connexions peut tomber à cent, ou en dessous, après

9 h. Le nombre normal de connexions après 17 h et pendant le week-end diminuerait encore

plus .

NetIQ Sentinel vous permet de configurer la détection des anomalies en fonction des seuils

contextuels souhaités pour ces différentes périodes . Avec une solution qui, contrairement à

Sentinel, ne contextualiserait pas la détection des anomalies, vous devriez définir des seuils

fixes qui s’avèreraient trop élevés ou trop bas. Si vous définissiez des seuils élevés pour tenir

compte des heures de pointe, les comportements anormaux qui se produiraient en basse

période ne seraient pas détectés. Si vous définissiez des seuils bas afin de détecter toutes les

anomalies potentielles, vous seriez submergé de fausses alertes pendant les heures de pointe .

NetIQ Sentinel vous permet de configurer la détection des anomalies en fonction des seuils contextuels souhaités pour ces différentes périodes.


10


Anomalies de comparaisons historiquesÉgalement appelées anomalies relatives ou par rapport à une ligne de base, les comparaisons

historiques vous permettent de comparer les activités qui se produisent à différents instants .

Par exemple, Sentinel peut vous alerter si le nombre de connexions pendant un intervalle

de 15 minutes augmente de 30 % par rapport aux intervalles de 15 minutes de l’heure

précédente . Sentinel pourrait aussi comparer le nombre de connexions effectuées le lundi

entre 9 h et 10 h, par rapport au nombre de connexion effectuées le lundi précédent entre 9 h

et 10 h . Avec les anomalies de comparaisons historiques, vous disposez de fonctionnalités

très flexibles pour comparer de manière régulière les activités qui s’effectuent pendant

différents laps de temps, ce qui renforce la capacité de votre entreprise à détecter toute

activité anormale .

Détecteurs d’anomalies automatiquesLe tableau de bord de Sentinel permet de créer facilement de nombreux détecteurs

d’anomalies automatiques. Il vous suffit de suivre les étapes de l’assistant pour nommer le

détecteur, sélectionner le type d’anomalie à détecter et configurer les paramètres souhaités

du détecteur : regroupement des intervalles minimums, types d’événements (tentatives

de connexion, échecs de connexion, suppressions de fichiers, etc.), seuils, valeurs de

comparaison historique (jours de la semaine ou heures, par exemple), etc. Lorsque vous

définissez un détecteur d’anomalies, vous avez la possibilité de spécifier des paramètres de

notification, par exemple pour indiquer la personne à notifier en cas d’anomalie et le délai

d’envoi d’une nouvelle notification en cas de réitération de l’anomalie.

Réaction aux événements anormaux

Quand une anomalie est identifiée dans Sentinel, un événement d’anomalie est généré

et réintégré au flux d’événements de Sentinel. Différents composants situés en aval

(notamment les couches de création de rapports et de stockage, le moteur de corrélation et

le workflow iTRAC qui peut envoyer des alertes et lancer différents processus de traitement)

sont alors en mesure de réagir à ces événements . Lorsqu’il reçoit un événement d’anomalie,

le moteur de corrélation peut donner à Sentinel plus de contexte de manière à assurer

l’évaluation des règles et l’identification des tendances définies. Ces tendances correspondent

à une combinaison de certains types d’événements anormaux et d’autres types d’événements

qui, ensemble, révèlent un comportement malveillant .

Quand une anomalie est identifiée dans Sentinel, un événement d’anomalie est généré et réintégré au flux d’événements de Sentinel.

11www.netiq.com

Gestion des conséquences d’événements anormaux

Dans certaines situations d’analyse ou de recherche portant sur les attaques, vous pouvez

vous retrouver submergé d’événements d’anomalies répétés . Sentinel intègre un mécanisme

de mise à jour et de gestion des conséquences visant à résoudre ce problème. Grâce à ce

mécanisme, Sentinel détecte que les occurrences suivantes de l’événement d’anomalie initial

ne sont que des conséquences du même événement, ce qui réduit le nombre d’événements

d’anomalies identiques générés par le moteur (pendant un laps de temps spécifié).

Analyse des anomalies via un outil graphique et dynamique basé sur le WebDans sa version 7, Sentinel est doté d’une interface Web complètement revue, à la fois

conviviale et efficace. L’interface propose un tout nouveau tableau de bord dédié aux

renseignements relatifs à la fonction Security Intelligence qui joue un rôle central pour

la gestion, le monitoring et l’analyse des activités .

Le tableau de bord vous permet de visualiser l’évolution de votre environnement grâce à

des vues graphiques représentant les données historiques et en temps réel . Au centre, une

courbe de tendance affiche les pics et les creux statistiques totaux faisant référence aux

activités réelles pour un détecteur d’anomalies automatique donné . La courbe est comparée

aux tendances normales et aux lignes de base correspondant à des périodes spécifiques.

À droite du graphique principal, des comparaisons graphiques et numériques des activités

réelles et normales sont répertoriées pour des attributs d’événements pertinents associés

à un détecteur d’anomalies spécifique (le nombre de tentatives de connexion, d’échecs de

connexion ou de fichiers supprimés, par exemple) pour ces périodes.

Des informations et statistiques supplémentaires relatives aux anomalies détectées sont

répertoriées sous le graphique principal . Ces éléments permettent d’accéder à d’autres

informations . Par exemple, le tableau de bord peut signaler une alerte concernant des

suppressions de fichiers. Si vous cliquez sur l’alerte, vous obtiendrez des détails tels que

les sources IP ou les ID utilisateur correspondant aux suppressions de fichiers.

Dans sa version 7, Sentinel est doté d’une interface Web complètement revue, à la fois conviviale et efficace.


12


Utilisation de la fenêtre temporelle défilante

Le tableau de bord de Sentinel est doté d’une fonctionnalité optimisée de fenêtre

temporelle défilante pour l’analyse. Optimisée par la fonctionnalité de génération de séries

chronologiques du produit, cette fenêtre vous permet de consulter des analyses graphiques

et statistiques de presque tous les intervalles de temps imaginables . La fenêtre temporelle

pourrait par exemple représenter les activités qui se sont produites au cours des 15 dernières

minutes. Pour voir les activités qui se sont déroulées auparavant, il vous suffit de cliquer sur

la barre de défilement de la fenêtre temporelle, à gauche, pour déplacer dynamiquement la

fenêtre dans le temps et inclure plusieurs minutes, heures, jours, semaines ou mois de plus.

Si vous cliquez sur la barre de défilement de droite et que vous la déplacez, l’heure de fin de

la fenêtre temporelle se modifie en temps réel. Vous pouvez ainsi la redéfinir sur une heure

donnée du passé, pour une analyse spécifique.

À mesure que la fenêtre temporelle avance et recule dans le temps, les analyses graphiques et

numériques du tableau de bord sont automatiquement mises à jour pour refléter les activités

associées à l’intervalle de temps de la fenêtre . De plus, le modèle de référence adapté à cet

intervalle de temps s’affiche. Grâce à cette fenêtre temporelle défilante, vous pouvez recréer

à tout moment et très facilement l’état des activités de votre environnement sur plusieurs

dimensions et pour l’intervalle de temps de votre choix, puis comparer ces activités au

modèle de comportement normal de l’environnement . Une telle fonctionnalité s’avère très

utile pour les analyses en temps réel, mais également pour les analyses d’expertise .

_______________________________________________________________

Optimisée par la fonctionnalité de génération de séries chronologiques de Sentinel, cette fenêtre temporelle vous permet de consulter des analyses graphiques et statistiques de presque tous les intervalles de temps imaginables.

Fig. 3

Des renseignements exploitables à portée de main en temps réel grâce aux tableaux de bord de sécurité de NetIQ Sentinel.

13www.netiq.com

Moteur de corrélation et générateur de règlesPour compléter le nouveau moteur de détection d’anomalies, Sentinel propose un moteur

de corrélation qui permet de définir des stratégies et des règles dédiées à la détection des

comportements malveillants connus . Les règles décrivent la façon dont les attaques connues

se manifestent dans un flux d’événements. À chaque fois que le bus de messages Sentinel

envoie des événements au moteur de corrélation, celui-ci évalue les événements selon les

critères des règles qui définissent les attaques. Ainsi, le moteur de corrélation détecte les

attaques en temps réel .

Les règles spécifient également les mesures à prendre en cas d’attaque. Une fois que

le moteur de corrélation a déterminé les mesures à prendre à la suite d’un événement

spécifique, il renvoie les informations à iTRAC via le bus de messages. Les processus de

notification et de traitement sont alors lancés automatiquement grâce aux workflows iTRAC.

La corrélation automatisée des événements accélère l’analyse des logs, ce qui vous permet de

consacrer plus de temps à la résolution d’incidents . En outre, elle limite les erreurs d’analyse

qui peuvent empêcher la détection d’un incident de sécurité ou de conformité .

Le moteur de corrélation Sentinel propose divers modèles basés sur des règles complexes

(règles imbriquées, en séquence ou cause à effet, par exemple) . Cela garantit une analyse

plus poussée du flux d’événements et facilite la création de règles correspondant aux besoins

spécifiques de votre entreprise.

Une autre fonctionnalité a été ajoutée à Sentinel dans la version 7 : le générateur graphique

de règles . Vous pouvez créer des règles de corrélation d’événements sans connaître le

langage de script Rule LG ni la taxinomie d’événements interne de Sentinel . En outre, elles

sont très rapides à créer, par simple glisser-déplacer des événements déjà collectés par

Sentinel dans votre environnement . Grâce au générateur graphique de règles, même les

utilisateurs les moins expérimentés peuvent tirer profit des performances du moteur de

corrélation. Par ailleurs, le générateur de règles simplifie le processus global de définition de

règles .

Vous pouvez également exploiter le générateur de règles pour tester les règles avant de les

déployer, de manière à réduire le nombre de fausses alertes, améliorer les fonctionnalités de

corrélation des événements et créer des fonctionnalités de détection d’exploits améliorées .

Le générateur graphique de règles permet de cibler rapidement les menaces les plus

importantes afin d’accélérer leur traitement et de limiter leur impact sur vos activités .

_______________________________________________________________

À chaque fois que le bus de messages Sentinel envoie des événements au moteur de corrélation, celui-ci évalue les événements selon les critères des règles qui définissent les attaques. Ainsi, le moteur de corrélation détecte les attaques en temps réel.


14


Création de rapports et stockage hautes performancesDans sa version 7, Sentinel est doté d’un stockage à deux niveaux qui combine des

fonctionnalités SIEM et de gestion des logs pour des performances optimales . Le stockage

de premier niveau est optimisé pour l’archivage des événements à long terme . Il exploite

une zone de stockage des événements basée sur les fichiers. Dotée d’un taux de compression

de 10:1, cette zone de stockage efficace prend en charge les recherches indexées et accélère

la plupart des tâches de création de rapports . Si nécessaire, il est également possible de

synchroniser le stockage basé sur les fichiers avec un stockage temporaire de second niveau.

Cela permet d’enregistrer les événements ou une partie d’entre eux dans une base de

données relationnelle traditionnelle .

Le nouveau niveau de stockage basé sur les fichiers exploite la conception de banque de

données de NetIQ Sentinel Log Manager . Il vous permet d’exploiter les investissements

existants en matière de stockage et de matériel, notamment le stockage de données en

ligne prêt à l’emploi, les SAN (sous-réseaux de stockage) et le stockage en réseau (NAS),

pour assurer la connectivité du stockage avec un taux d’événements élevé et être en mesure

d’accroître la capacité des archives . Ainsi, pour réduire les coûts associés au stockage de

données de consignation dans Sentinel, vous pouvez choisir d’enregistrer celles-ci sur votre

propre matériel .

Dans sa version 7, Sentinel est doté d’un stockage à deux niveaux qui combine des fonctionnalités SIEM et de gestion des logs pour des performances optimales.

Fig. 4

NetIQ Sentinel permet de créer des règles de corrélation par glisser-déplacer.

15www.netiq.com

Dans Sentinel, le niveau de stockage basé sur les fichiers assure un taux de compression des

données de 10:1 qui optimise la capacité de stockage et fournit les signatures des données

dans les logs de données collectés pour garantir leur intégrité . Les deux types de données

(données brutes et données d’événements optimisées) sont enregistrés dans le stockage basé

sur les fichiers de Sentinel. Le format des données brutes dépend du connecteur associé et de

la source d’événements, mais en général, elles contiennent des informations sur le message,

l’ID d’enregistrement et la source d’événements des données brutes ainsi que l’heure à

laquelle elles ont été reçues, le collecteur, l’ID de noeud du gestionnaire de collecteurs,

un hachage SHA-256 des données brutes, etc . Les données brutes sont enregistrées de

façon à assurer qu’aucun log n’est modifié. L’enregistrement des données dans un format

non modifié facilite la conformité aux réglementations liées aux expertises. Ici encore,

les données brutes sont compressées pour limiter l’espace de stockage requis .

Pour vous permettre de tirer un profit maximum des données collectées, Sentinel associe

les données brutes à un format enrichi qui les transforme en structures d’événements

informatives . Ces structures d’événements se composent de métadonnées de pertinence

commerciale, de normalisation et de taxinomie qui rendent les informations collectées plus

compréhensibles et plus faciles à utiliser . De même que les données brutes, les structures

d’événements sont compressées et enregistrées dans le stockage de premier niveau basé sur

les fichiers de Sentinel.

Dans Sentinel, des balises d’indexage sont générées pour tous les événements enregistrés, afin

de faciliter la recherche et la création de rapports sur les données collectées . Elles sont ensuite

enregistrées en tant qu’index d’événements dans le stockage basé sur les fichiers. Ces balises

d’indexage (ou index) se comportent comme des indicateurs de données . Ainsi, les recherches

effectuées permettent d’extraire des événements dont les champs correspondent aux critères de

recherche . Pour assurer des recherches rapides, les index d’événements ne sont pas compressés .

Sentinel propose également des stratégies de conservation des données à long terme

personnalisables : vous pouvez spécifier le délai de maintien des données collectées dans le

stockage local, et lorsque ce délai est atteint, elles migrent automatiquement vers le stockage

archivé. Vous pouvez aussi utiliser ces stratégies pour définir le délai de conservation des

données archivées . Une fois ce délai atteint, Sentinel les supprime .

Le stockage basé sur les fichiers permet d’effectuer des recherches rapides sur les données

d’événements et facilite la création de rapports, mais vous pouvez également avoir besoin d’un

stockage temporaire de second niveau s’appuyant sur une base de données relationnelle pour

créer des rapports plus complexes et plus sophistiqués . Dans Sentinel, les données du stockage

basé sur les fichiers et celles du stockage de base de données sont synchronisées en fonction

des besoins des rapports planifiés. Une fois que tous les rapports requis sont créés, les données

stockées dans la base de données ne sont plus nécessaires . Elles sont donc automatiquement

Pour vous permettre de tirer un profit maximum des données collectées, Sentinel associe les données brutes à un format enrichi qui les transforme en structures d’événements informatives.


16


éliminées pour limiter la taille de la base de données . Pour le stockage de base de données,

vous avez le choix entre une base de données intégrée à Sentinel et la synchronisation avec

une base de données relationnelle externe (Oracle ou MS-SQL, par exemple) .

Ce système de stockage de second niveau répond parfaitement aux termes d’un récent

rapport Gartner qui signale que « les fournisseurs SIEM doivent étendre leurs architectures

pour assurer une meilleure prise en charge des exigences disparates associées au monitoring

et à la collecte des données en temps réel, ainsi qu’aux analyses historiques . Leurs

infrastructures de collecte en temps réel devront peut-être être complétées par une seconde

banque de données qui sera massivement indexée et optimisée pour prendre en charge

les requêtes non planifiées, ainsi que le stockage à long terme des données relatives aux

événements, contextes et états historiques. » (Mark Nicolette, Joseph Feiman, Gartner Inc.

« SIEM Enables Enterprise Security Intelligence »)

En résumé, la nouvelle architecture de stockage de Sentinel combine le meilleur de Sentinel

Log Manager et des versions précédentes de Sentinel pour offrir :

des fonctionnalités de recherche beaucoup plus rapides ;

des performances de création de rapports considérablement améliorées ;

des fonctionnalités plus simples de création de rapports ;

une réduction de la taille du stockage requis et des coûts associés.

En outre, cette architecture offre les avantages des bases de données relationnelles en

matière de création de rapports, tout en maintenant les performances d’un stockage basé

sur les fichiers, et elle limite la place occupée par les données. De plus, Sentinel ne requiert

pas de base ou d’entrepôt de données externe et inclut un générateur de requêtes avancé et

convivial qui permet de visualiser l’environnement de sécurité de l’entreprise, de faire état

de la conformité aux réglementations et de gérer efficacement les risques opérationnels.

Proposant divers modèles de rapports prédéfinis, NetIQ Sentinel permet aussi de créer

rapidement des requêtes afin d’obtenir des rapports relatifs aux événements qui se sont

produits, dans le contexte des règles établies dans l’entreprise, des réglementations officielles

et des normes de l’industrie . Ces rapports permettent de décrire l’ensemble des événements

qui se produisent sur le réseau, ainsi que les niveaux de sécurité et de conformité globaux de

votre entreprise .

NetIQ Sentinel Log Manager

NetIQ Sentinel combine des fonctionnalités SIEM et de gestion des logs . Toutefois, si vous

n’avez pas besoin d’un produit SIEM complet, vous pouvez exploiter NetIQ Sentinel Log

Par ailleurs, Sentinel ne requiert pas de base ou d’entrepôt de données externe et inclut un générateur de requêtes avancé et convivial qui permet de visualiser l’environnement de sécurité de l’entreprise, de faire état de la conformité aux réglementations et de gérer efficacement les risques opérationnels.

17www.netiq.com

Manager . De même que Sentinel, Sentinel Log Manager permet de collecter, regrouper,

enregistrer, analyser et gérer efficacement les logs de données issus de vos systèmes et

applications . Cet outil exploite la structure éprouvée d’intégration des données de Sentinel,

ainsi que ses différents collecteurs dédiés à divers systèmes : bases de données, systèmes

d’exploitation, répertoires, pare-feux, systèmes de prévention et de détection d’intrus,

applications anti-virus, mainframes, serveurs Web et d’applications, etc .

NetIQ Sentinel Log Manager assure également l’indexation des données et la création de

rapports en un clic, ce qui simplifie la création de rapports dans le cadre de vos initiatives

d’audit et de conformité . Comme la solution intègre l’accès aux banques de données

archivées, vous pouvez lancer des requêtes et créer des rapports sur les données en ligne et

archivées en toute transparence, d’où des processus de conformité simplifiés et accélérés.

Avec l’intégration de Sentinel, Sentinel Log Manager vous offre un outil de gestion des

logs convivial qui fournit un processus clair et exhaustif de gestion de la sécurité, des

informations et des événements, en temps réel .

NetIQ Sentinel LinkDans les environnements distribués, il peut s’avérer extrêmement difficile de collecter

les logs d’événements et de les mettre en corrélation avec les informations de sécurité

essentielles . Grâce à une méthode innovante de transfert des données d’événements des logs

vers Sentinel, Sentinel Link assure des fonctions avancées de corrélation et d’intégration en

temps réel avec les solutions de gestion des identités .

Sentinel Link permet de transférer les logs depuis une instance distribuée de Sentinel Log

Manager vers Sentinel pour assurer le monitoring en temps réel, ou vers un autre déploiement

de Sentinel Log Manager à des fins de stockage et d’archivage centralisés des logs.

C’est cette fonctionnalité qui fait le lien entre la collecte des logs et la mise en corrélation des

événements de sécurité . Avec Sentinel Link, toutes les communications sont envoyées par

le biais de services Web sur HTTPS, et non à l’aide d’un protocole propriétaire peu fiable tel

que Syslog ou FTP . Ainsi, vous pouvez transmettre vos données de consignation sensibles de

façon fiable, sécurisée et compatible avec les pare-feux. Si le destinataire est déconnecté ou

injoignable en raison de problèmes sur le réseau, Sentinel Log Manager met les logs en cache

jusqu’à ce que la connexion soit établie, afin d’éviter toute perte de données. Sentinel Link

propose des options de configuration qui permettent de limiter les débits de données lorsque

la largeur de bande est étroite, ou de planifier les transferts de logs à des heures spécifiques

de la journée ou de la semaine, afin de profiter des heures creuses.

Avec l’intégration de Sentinel, Sentinel Log Manager vous offre un outil de gestion des logs convivial qui fournit un processus clair et exhaustif de gestion de la sécurité, des informations et des événements, en temps réel.


18


Gestion des workloads intelligents

La gestion des workloads intelligents (Intelligent Workload Management, IWM) permet

aux entreprises informatiques de gérer et d’optimiser leurs ressources de façon sécurisée,

conforme et basée sur des stratégies dans des environnements physiques, virtuels et cloud

afin de fournir des services métiers aux clients. L’approche différenciée de NetIQ en termes

de gestion des workloads intelligents, WorkloadIQ™, intègre des fonctionnalités de gestion

des systèmes et des identités dans un workload applicatif, optimisant ainsi la sécurité et la

portabilité de ce dernier dans les environnements physiques, virtuels et cloud . Composant

fondamental de WorkloadIQ, Sentinel assure le monitoring en temps réel des événements

associés à vos workloads . De plus, en écourtant les temps de réaction, il renforce la sécurité

de vos ressources informatiques dans vos environnements physiques, virtuels et cloud .

Visibilité, protection et renseignements en temps réel

Avec NetIQ Sentinel, vous bénéficiez d’une visibilité en temps réel sur vos activités

informatiques, ce qui vous permet de réduire le nombre de menaces de sécurité, d’améliorer

les opérations de sécurité et de mettre en oeuvre des contrôles de stratégies prenant en

charge les environnements physiques, virtuels et cloud, de façon automatique . Comme ce

produit atténue la complexité associée à la technologie SIEM traditionnelle et réduit les

obstacles à son adoption, toutes les entreprises peuvent désormais bénéficier d’une fonction

Security Intelligence . De plus, grâce aux renseignements en temps réel, à la détection

d’anomalies et au monitoring de l’activité des utilisateurs, qui permettent de mettre en place

un mécanisme d’avertissement prédictif et d’évaluer précisément les activités informatiques,

NetIQ Sentinel est un outil SIEM d’une efficacité sans précédent.

NetIQ Sentinel est le seul produit du marché qui assure une intégration transparente avec

la gestion des identités, de manière à associer les utilisateurs à des activités spécifiques sur

l’ensemble des environnements. Cela facilite l’identification des risques critiques, écourte

sensiblement les temps de réaction et permet de traiter rapidement les menaces et violations

de sécurité, avant qu’elles n’affectent les activités de l’entreprise . Grâce aux renseignements

fournis en temps réel par Sentinel, les entreprises peuvent se protéger contre les menaces les

plus avancées, améliorer les opérations de sécurité et appliquer des contrôles de stratégies

permanents .

Composant fondamental de WorkloadIQ, Sentinel assure le monitoring en temps réel des événements associés à vos workloads. De plus, en écourtant les temps de réaction, il renforce la sécurité de vos ressources informatiques dans vos environnements physiques, virtuels et cloud.

19www.netiq.com

À propos de NetIQ

NetIQ est un fournisseur international de logiciels informatiques d’entreprise dont les efforts

sont constamment axés sur la réussite de ses clients . NetIQ comble, à moindres frais, les

besoins de ses clients et partenaires en matière de protection des informations . De plus,

notre société gère les aspects complexes des environnements d’applications dynamiques

hautement distribués .

Notre portefeuille comprend des solutions automatisées et évolutives, spécialisées dans

la gestion des identités, de la sécurité et de la gouvernance, ainsi que des opérations

informatiques . Les entreprises sont ainsi en mesure de fournir, mesurer et gérer en toute

sécurité des services informatiques à l’échelle de leurs environnements physiques, virtuels et

cloud . Associées à notre approche pratique et orientée client de la résolution des problèmes

informatiques récurrents, ces solutions aident les entreprises à réduire les coûts, la

complexité et les risques .

Pour en savoir plus sur nos solutions logicielles reconnues par les professionnels du secteur,

visitez : www.netiq.com

NetIQ comble, à moindres frais, les besoins de ses clients et partenaires en matière de protection des informations. De plus, notre société gère les aspects complexes des environnements d’applications dynamiques hautement distribués.



562-FR1002-003 | Q | 06/16 | © 2016 NetIQ Corporation et ses filiales. Tous droits réservés. NetIQ, le logo NetIQ, Sentinel et WorkloadIQ sont des marques commerciales ou des marques déposées de NetIQ Corporation aux États-Unis. Tous les autres noms de produits et d’entreprises peuvent être des marques commerciales appartenant à leur propriétaire respectif.

www.netiq.com

NetIQFranceTel: +33 (0) 1 55 70 30 13

Siège social au Royaume-UniRoyaume-UniTel: +44 (0) 1635 565200

[email protected]/communitieswww.netiq.com

Pour obtenir la liste complète de nos bureaux d’Amérique du Nord, d’Europe, du Moyen-Orient, d’Afrique,d’Asie-Pacifique et d’Amérique latine,visitez la page : www.netiq.com/contacts.

www.netiq.com


mailto:[email protected]

http://www.netiq.com/communities


http://www.netiq.com/contacts


netiq sentinel 7

Documents