Les SIEMs (Security Information Event Managers) ont donné aux logs leurs lettres de noblesse, il y a quelques années lorsque ces précurseurs du LMI se sont rendu compte que les logs représentaient en fait une mine inexploitée. En effet, les logs contiennent la connaissance universelle sur l’état d’une infrastructure du Système de l’Information. Malheureusement les SIEMs étaient à la fois extrêmement complexes et couteux à mettre en place, un véritable cauchemar à opérer, et leur valeur ajoutée était souvent discutable. Leur périmètre se réduisait aux équipements de sécurité et aux événements liés à des problèmes de sécurité. Leur but était de dire et de dicter aux entreprises ce qui représentait un incident sécurité, sans connaissance préalable des environnements dans lesquels ils étaient placés. Configurés pour ratisser large, ils généraient des milliers de faux-positifs par jour. Configurés pour atténuer le nombre de faux-positifs, ils laissaient des voies béantes à des attaques pourtant faciles à éviter.

C’est basé sur l’immense potentiel des logs et des leçons tirées des générations précédentes que le Log Management and Intelligence s’est imposé dans l’industrie comme une discipline la fois pratique et pragmatique, à la proposition de valeur claire, un outil simple à mettre en place et à opérer, un outil qui remplit pleinement ses fonctions multiples :

– Améliorer le profil sécurité d’une entreprise, en atténuant et réduisant le niveau de risque
– Apporter une aide décisionnaire pour l’optimisation des infrastructures du Système d’Information
– Assurer la traçabilité des opérations et processus métier et détecter les violations des politiques internes ainsi que les normes réglementaires et juridiques
– Fournir un support à la conformité sur de nombreuses normes – PCI, SOX, COBIT, ITIL, ISO2700, HIPAA etc
– Offrir un outil inégalé pour l’analyse forensics – autopsies – pour analyser les incidents sécurité, et facilement comprendre exactement qui a fait quoi, quand, et comment

Pour ce faire, LogLogic propose des solutions sous forme d’appliances tout-en-un qui sont faciles à installer, triviales à intégrer et dont la gestion opérationnelle est quasi-automatique et autonome grâce à des mécanismes et des technologies brevetées développées spécifiquement pour cet usage.

Les fonctions principales des solutions LogLogic sont de :

Collecter 100% des logs, 100% du temps, sans l’utilisation d’agents complexes à installer sur les équipements distants

– Maximiser le taux de collecte des logs
Collecter non seulement les logs des équipements standards (FW, routeurs, serveurs etc) mais également les logs des bases de données, des applications développées en interne et tout autre log logique
– Faciliter l’installation et l’intégration des solutions
Reconnaitre les formats de logs automatiquement grâce à des techniques d’auto-identification

– Fournir la souplesse nécessaire pour tout environnement :
Compatible avec tous les mécanismes de collecte des logs, syslog, syslog-ng, file pull (scp, sftp, ftps, ftp, https get, https push), file push (https push, http push), file share (smb, cifs)

– Offrir un taux de performance inégalé :
Capables de collecter les logs à un taux de 75 000 logs/seconde par appliance (série ST)

Analyser les logs

– Appliquer des technologies de parsing ainsi que d’indexations universelles
Maximiser les fonctionnalités et augmenter les performances à un niveau inégalé sur les recherches et créations de rapports

– Comprendre le fonctionnement systémique de l’infrastructure
Utiliser des moteurs d’intelligence artificielle pour élaborer un schéma comportemental attendu afin de repérer immédiatement et alerter sur des anomalies du Système d’Information

– Temps réel ou données historiques
Investiguer les données en temps réel pour une réactivité immédiate
Travailler sur les données historiques afin d’établir des tendances et des projections ou d’effectuer des analyses d’autopsie (forensics)

Réagir intelligemment

– Rechercher, rapporter et alerter
Utilisation de modèles prédéfinis, facilement adaptables, pour les besoins les plus typiques
Création de filtres booléens ou expressions régulières réutilisables pour des recherches, rapports et alertes sur mesure par rapport aux besoins de l’entreprise à l’aide d’une Interface Utilisateur Graphique (GUI) simple

– Assurer la conformité de l’entreprise
Utilisation de kits de conformité pour faciliter les audits et analyses pour les réglementations et usages les plus typiques (PCI, SOX, Cobit, HIPAA, ISO27000, ITIL)

– Ouvrir la solution aux applications tierces
Mise à disposition d’une interface de programmation applicative (API Application Programming Interface) et d’une architecture Open Web Services afin de fournir une plateforme de développement pour une intégration de la solution au sein des processus clients

Stocker intelligemment

– Pérenniser les données
Stockage des logs à bord sur une durée de plus de 10 ans et interfaçage avec des baies de stockage externes de type NAS Network Attached Storage, SAN Storage Attached Network ou WORM Write Once Read Many pour une durée encore plus longue

– Fournir des preuves
Utilisation de cryptosystèmes MD5 pour signature digitale des logs bruts afin de fournir des preuves non réfutables et pour une admissibilité juridique à force probante

– Optimiser l’espace disponible
Compression d’un facteur de x8 à x12 pour une utilisation optimale des espaces disque

En ces temps où plus que jamais les budgets d’acquisition et de gestion opérationnelle sont de plus en plus serrés, LogLogic représente un investissement primordial pour une palette de besoins réels et identifiés :

– Optimisation des infrastructures et des dépenses en vous donnant la visibilité nécessaire aux bonnes prises de décision

– Réduction des effectifs nécessaires au suivi des opérations de sécurité grâce à des approches proactives (alertes) et réactives (rapports)

– Réduction des coûts liés aux certifications et preuves de conformité réglementaires et juridiques

– Assurance du respect des politiques internes et des processus métiers grâce à une traçabilité totale et complète

Pour tout renseignement :

http://www.loglogic.com/fr/