reveelium technical overview - datasheet fr

4
REVEELIUM – PRÉSENTATION TECHNIQUE Le dimensionnement du matériel est entraîné par différents paramètres : * Performances de calculs : * taux d’événements * nombre de sources de données * nombre d’entités (IP, utilisateurs, etc.) * nombre d’études de cas, etc. * Disponibilité des services et des données. PRÉREQUIS SYSTÈME * Matériels basés sur X86_64 * Distribution Linux récente (testé sur Ubuntu Linux) * Docker et Docker-Compose PRÉREQUIS BACKEND * Apache Kafka * Confluent.io Kafka-Rest * KairosDB * HDFS * MongoDB Les journaux sont lus, analysés et stockés pour une durée déterminée dans le but d’une analyse a posteriori plus détaillée. Reveelium mets à la disposition d’un analyste toutes les résultats intermédiaires de son processus de détection. PRÉREQUIS MINIMALES Pour les configurations plus petites, non-critiques ou de test, une exigence minimale par serveur unique est de : * CPU : 8 cœurs / RAM : 16 Go / DD : 300 Go SOURCES DE DONNÉES Les séries temporelles sont utilisées dans l’analyse des menaces. Les journaux natives suivants sont utilisés : Netflow, Proxy, DNS... Reveelium peut interagir avec la plupart des SIEM (Splunk, ArcSight, RSA, Graylog) et applications (Active Directory, Apache, etc.). DATA SCIENTIST. NOUVEAUX CAS D'UTILISATION. THREAT MODULES. Reveelium n’est pas un simple produit. Nous pouvons adapter de nouveaux cas d'utilisation en fonction de vos besoins et mettre en œuvre de nouveaux modules de menace (« Threat Module »). Nous sommes également en mesure d’affiner le processus à l'aide d'un Data Scientist. Nous déployons Reveelium à l’intérieur du SI client durant 30 jours. Un Data Scientist analyse les nouveaux jeux de données et les nouveaux cas d’utilisation dans le but d’appliquer le meilleur algorithme de Reveelium. Après avoir étudié ce cas d’utilisation, il est ajouté à Reveelium en tant que nouveau module de détection des menaces. Nous proposons les modules de menace suivants : détection malware et APT, détection d'extraction de données, détection abus compte d'utilisateur, détection de la fraude bancaire, analyse SMTP mail log, analyse des flux de télécommunications ... TEMPS DE DETECTION MOYEN Domaines suspicieux : immédiat Analyse des données chronologiques : 1 jour Corrélation des alertes : 1 jour Stabilisation apprentissage automatique : 1 mois PROCESSUS D'IDENTIFICATION D’ANALYSE ET DE DETECTION DES COMPORTEMENTS MALVEILLANTS : 1. Surveiller toutes les sources de données disponibles 2a. Corréler les anomalies et les données contextuelles 2b. Détecter les anomalies à l’aide de Reveelium 3. Prioriser les réponses : validation par les opérateurs humains INTÉGRATION DE REVEELIUM DANS LE PROCESSUS ILLUSTRÉ CI-DESSUS :

Upload: itrust-cybersecurity-as-a-service

Post on 22-Jan-2018

32 views

Category:

Software


0 download

TRANSCRIPT

REVEELIUM–PRÉSENTATIONTECHNIQUE

Le dimensionnement du matériel est entraîné par différents paramètres : * Performances de calculs : * taux d’événements * nombre de sources de données * nombre d’entités (IP, utilisateurs, etc.) * nombre d’études de cas, etc. * Disponibilité des services et des données. PRÉREQUIS SYSTÈME * Matériels basés sur X86_64 * Distribution Linux récente (testé sur Ubuntu Linux) * Docker et Docker-Compose PRÉREQUIS BACKEND * Apache Kafka * Confluent.io Kafka-Rest * KairosDB * HDFS * MongoDB Les journaux sont lus, analysés et stockés pour une durée déterminée dans le but d’une analyse a posteriori plus détaillée. Reveelium mets à la disposition d’un analyste toutes les résultats intermédiaires de son processus de détection. PRÉREQUIS MINIMALES Pour les configurations plus petites, non-critiques ou de test, une exigence minimale par serveur unique est de : * CPU : 8 cœurs / RAM : 16 Go / DD : 300 Go SOURCES DE DONNÉES Les séries temporelles sont utilisées dans l’analyse des menaces. Les journaux natives suivants sont utilisés : Netflow, Proxy, DNS... Reveelium peut interagir avec la plupart des SIEM (Splunk, ArcSight, RSA, Graylog) et applications (Active Directory, Apache, etc.).

DATA SCIENTIST. NOUVEAUX CAS D'UTILISATION. THREAT MODULES. Reveelium n’est pas un simple produit. Nous pouvons adapter de nouveaux cas d'utilisation en fonction de vos besoins et mettre en œuvre de nouveaux modules de menace (« Threat Module »). Nous sommes également en mesure d’affiner le processus à l'aide d'un Data Scientist. Nous déployons Reveelium à l’intérieur du SI client durant 30 jours. Un Data Scientist analyse les nouveaux jeux de données et les nouveaux cas d’utilisation dans le but d’appliquer le meilleur algorithme de Reveelium. Après avoir étudié ce cas d’utilisation, il est ajouté à Reveelium en tant que nouveau module de détection des menaces. Nous proposons les modules de menace suivants : détection malware et APT, détection d'extraction de données, détection abus compte d'utilisateur, détection de la fraude bancaire, analyse SMTP mail log, analyse des flux de télécommunications ... TEMPS DE DETECTION MOYEN Domaines suspicieux : immédiat Analyse des données chronologiques : 1 jour Corrélation des alertes : 1 jour Stabilisation apprentissage automatique : 1 mois

PROCESSUS D'IDENTIFICATION D’ANALYSE ET DE DETECTION DES COMPORTEMENTS MALVEILLANTS : 1. Surveiller toutes les sources de données disponibles 2a. Corréler les anomalies et les données contextuelles 2b. Détecter les anomalies à l’aide de Reveelium 3. Prioriser les réponses : validation par les opérateurs humains

INTÉGRATION DE REVEELIUM DANS LE PROCESSUS ILLUSTRÉ CI-DESSUS :

INTERFACEHOMME–MACHINE&REPORTING

OBJETS PRESENTANT UNE MENACE Du point de vue de l’utilisateur, examiner une par une les alertes remontées par Reveelium peut se révéler fastidieux, en particulier face à un large volume d’alertes. Pour aider l’utilisateur à détecter plus rapidement les comportements potentiellement dangereux, Reveelium met à disposition son moteur d’analyse des menaces. Celui ci tente de corréler les alertes aux scénarios génériques (i.e. des modèles comportementaux spécifiques basées sur des évènements ou des séquences d’évènements). Quand le comportement d’une machine correspond (même partiellement) à un tel scénario, un objet (« threat object ») est créé et remonté aux utilisateurs. Une menace regroupe les alertes qui correspondent (même partiellement) aux scénarios et qui ont été remontées au cours des dernières 24h. Un niveau de sévérité est attribué à ce jeu d’alertes, qui correspond au dégrée de réalisation d’un scénario. Comme mentionné précédemment, ces « threat objects » traitent les alertes remontées par Reveelium au cours de dernières 24h. De plus, les score d’un « threat object » peut évoluer avec le temps. Si aucune nouvelle alerte sur cette entité n’est remontée par Reveelium dans les 24h suivantes (i.e. alertes significatives pour un scénario donné), le « threat object » sera marqué comme inactif et supprimé de la liste de visualisation.

PROPRIETES DES MENACES Entité : IP de la machine analysée Scénario : nom du scénario affectant l’entité Dernière observation : date de la dernière actualisation du « threat object » Prochaine observation : date de la prochaine actualisation Score : estimation numérique du niveau de risque de l’entité, entre 0 et 100 (peut être interprété comme un pourcentage de similitude avec le scénario spécifique) COMPOSANTS DE L’INTERFACE GRAPHIQUE La page Threats affiche 3 vues alternatives : une vue Entities qui regroupe les scénarios de menaces par entité (i.e. quand une entité ressemble à plusieurs scénarios), une vue Threats qui liste les menaces individuellement pour chaque entité et scénario, et une vue Network qui affiche le graph des menaces correspondent à une certaine topologie des entités (ici, le graph des sous-réseaux). Toutes ces vues sont synchronisées pour afficher le même type d’information, peu importe les filtres de visualisation choisis. Voir dans les images ci-dessous les trois vues.

VUE ACCUEIL (« HOME ») Affiche chronologiquement les comportements anormaux, avec une priorisation par score.

INTERFACEHOMME–MACHINE&REPORTING

ARBRE DE DECISION Permet l’analyse des anomalies et des alertes remontées.

LISTE DES MENACES Affiche seulement la liste des menaces (i.e. pas regroupées par entité).

LISTE DES ENTITES Affiche les menaces regroupées par entité (i.e. adresse IP).

CONTACT

ITrust, 55 avenue de l’Occitane www.itrust.fr/en

+33 (0)567 346 780

INTERFACEHOMME–MACHINE&REPORTING

OUTILS DE VISUALISATION

En plus des outils d’analyse décrits précédemment, Reveelium fournit des outils graphiques visant à aider l’utilisateur à examiner les statistiques à l’échelle globale et, potentiellement, à focaliser son investigation sur des items spécifiques. L’image ci-dessous montre une page Vision de l’historique du nombre d’alertes par entité dans un intervalle de temps donné : D’autres graphs, également visibles depuis le même menu, montrent la distribution du type d’alertes remontées par Reveelium, durant un intervalle de temps donné, ou le nombre d’alertes par entité durant un intervalle de temps spécifique.

VUE RESEAU Affiche le graph des entités réseau et leurs niveaux de sévérité associés.

Les deux premières vues affichent les éléments en fonction de leurs niveaux de sévérité. Néanmoins, l’utilisateur peut choisir dans le panneau d’options du coin supérieur gauche de classifier les entités en fonction de leur IP ou de leur score. La troisième option fournit une vue intégrée du niveau des menaces sur la topologie de tout le réseau. Cet outil intuitif permet de savoir très rapidement quelles régions du réseau sont potentiellement infectées. L’utilisateur peut filtrer les menaces affichées par Reveelium avec les critères de son choix, en utilisant la barre de recherche.

Cliquer sur un élément appartenant à chacune de ces 3 vues affiche le jeu d’alertes correspondant (même partiellement) au scénario. Les détails associés au « threat object » sont affichés dans le panneau droit de la page.