1. REVEELIUM – PRÉSENTATION TECHNIQUE
Le dimensionnement du matériel est entraîné par
différents paramètres :
* Performances de calculs :
* taux d’événements
* nombre de sources de données
* nombre d’entités (IP, utilisateurs, etc.)
* nombre d’études de cas, etc.
* Disponibilité des services et des données.
PRÉREQUIS SYSTÈME
* Matériels basés sur X86_64
* Distribution Linux récente (testé sur Ubuntu Linux)
* Docker et Docker-Compose
PRÉREQUIS BACKEND
* Apache Kafka
* Confluent.io Kafka-Rest
* KairosDB
* HDFS
* MongoDB
Les journaux sont lus, analysés et stockés pour une
durée déterminée dans le but d’une analyse a posteriori
plus détaillée. Reveelium mets à la disposition d’un
analyste toutes les résultats intermédiaires de son
processus de détection.
PRÉREQUIS MINIMALES
Pour les configurations plus petites, non-critiques
ou de test, une exigence minimale par serveur
unique est de :
* CPU : 8 cœurs / RAM : 16 Go / DD : 300 Go
SOURCES DE DONNÉES
Les séries temporelles sont utilisées dans l’analyse des
menaces. Les journaux natives suivants sont utilisés :
Netflow, Proxy, DNS... Reveelium peut interagir avec la
plupart des SIEM (Splunk, ArcSight, RSA, Graylog) et
applications (Active Directory, Apache, etc.).
DATA SCIENTIST.
NOUVEAUX CAS D'UTILISATION.
THREAT MODULES.
Reveelium n’est pas un simple produit. Nous pouvons
adapter de nouveaux cas d'utilisation en fonction de vos
besoins et mettre en œuvre de nouveaux modules de
menace (« Threat Module »). Nous sommes également
en mesure d’affiner le processus à l'aide d'un Data
Scientist.
Nous déployons Reveelium à l’intérieur du SI client
durant 30 jours. Un Data Scientist analyse les nouveaux
jeux de données et les nouveaux cas d’utilisation dans
le but d’appliquer le meilleur algorithme de Reveelium.
Après avoir étudié ce cas d’utilisation, il est ajouté à
Reveelium en tant que nouveau module de détection des
menaces.
Nous proposons les modules de menace suivants :
détection malware et APT, détection d'extraction de
données, détection abus compte d'utilisateur, détection
de la fraude bancaire, analyse SMTP mail log, analyse
des flux de télécommunications ...
TEMPS DE DETECTION MOYEN
Domaines suspicieux : immédiat
Analyse des données chronologiques : 1 jour
Corrélation des alertes : 1 jour
Stabilisation apprentissage automatique : 1 mois
PROCESSUS D'IDENTIFICATION D’ANALYSE ET DE DETECTION DES COMPORTEMENTS MALVEILLANTS :
1. Surveiller toutes les sources de données disponibles
2a. Corréler les anomalies et les données contextuelles
2b. Détecter les anomalies à l’aide de Reveelium
3. Prioriser les réponses : validation par les opérateurs humains
INTÉGRATION DE REVEELIUM DANS LE PROCESSUS ILLUSTRÉ CI-DESSUS :
2. INTERFACE HOMME – MACHINE & REPORTING
OBJETS PRESENTANT UNE MENACE
Du point de vue de l’utilisateur, examiner une par une les alertes remontées par
Reveelium peut se révéler fastidieux, en particulier face à un large volume d’alertes.
Pour aider l’utilisateur à détecter plus rapidement les comportements potentiellement
dangereux, Reveelium met à disposition son moteur d’analyse des menaces. Celui ci
tente de corréler les alertes aux scénarios génériques (i.e. des modèles
comportementaux spécifiques basées sur des évènements ou des séquences
d’évènements).
Quand le comportement d’une machine correspond (même partiellement) à un tel
scénario, un objet (« threat object ») est créé et remonté aux utilisateurs. Une menace
regroupe les alertes qui correspondent (même partiellement) aux scénarios et qui ont
été remontées au cours des dernières 24h. Un niveau de sévérité est attribué à ce jeu
d’alertes, qui correspond au dégrée de réalisation d’un scénario.
Comme mentionné précédemment, ces « threat objects » traitent les alertes remontées
par Reveelium au cours de dernières 24h. De plus, les score d’un « threat object » peut
évoluer avec le temps. Si aucune nouvelle alerte sur cette entité n’est remontée par
Reveelium dans les 24h suivantes (i.e. alertes significatives pour un scénario donné), le
« threat object » sera marqué comme inactif et supprimé de la liste de visualisation.
PROPRIETES DES MENACES
Entité : IP de la machine analysée
Scénario : nom du scénario affectant l’entité
Dernière observation : date de la dernière actualisation du « threat object »
Prochaine observation : date de la prochaine actualisation
Score : estimation numérique du niveau de risque de l’entité, entre 0 et 100 (peut être
interprété comme un pourcentage de similitude avec le scénario spécifique)
COMPOSANTS DE L’INTERFACE GRAPHIQUE
La page Threats affiche 3 vues alternatives : une vue Entities qui regroupe les scénarios
de menaces par entité (i.e. quand une entité ressemble à plusieurs scénarios), une vue
Threats qui liste les menaces individuellement pour chaque entité et scénario, et une vue
Network qui affiche le graph des menaces correspondent à une certaine topologie des
entités (ici, le graph des sous-réseaux). Toutes ces vues sont synchronisées pour afficher
le même type d’information, peu importe les filtres de visualisation choisis.
Voir dans les images ci-dessous les trois vues.
VUE ACCUEIL (« HOME »)
Affiche chronologiquement les comportements anormaux, avec une priorisation par score.
3. INTERFACE HOMME – MACHINE & REPORTING
ARBRE DE DECISION
Permet l’analyse des anomalies et des alertes remontées.
LISTE DES MENACES
Affiche seulement la liste des menaces (i.e. pas regroupées par entité).
LISTE DES ENTITES
Affiche les menaces regroupées par entité (i.e. adresse IP).
4. CONTACT
ITrust, 55 avenue de l’Occitane www.itrust.fr/en
+33 (0)567 346 780
INTERFACE HOMME – MACHINE & REPORTING
OUTILS DE VISUALISATION
En plus des outils d’analyse décrits précédemment, Reveelium fournit des outils graphiques visant à aider l’utilisateur à examiner les statistiques à l’échelle globale et, potentiellement, à
focaliser son investigation sur des items spécifiques. L’image ci-dessous montre une page Vision de l’historique du nombre d’alertes par entité dans un intervalle de temps donné :
D’autres graphs, également visibles depuis le même menu, montrent la distribution du type d’alertes remontées par Reveelium, durant un intervalle de temps donné, ou le nombre d’alertes
par entité durant un intervalle de temps spécifique.
VUE RESEAU
Affiche le graph des entités réseau et leurs niveaux de sévérité associés.
Les deux premières vues affichent les éléments en fonction de leurs niveaux de sévérité. Néanmoins, l’utilisateur peut
choisir dans le panneau d’options du coin supérieur gauche de classifier les entités en fonction de leur IP ou de leur
score. La troisième option fournit une vue intégrée du niveau des menaces sur la topologie de tout le réseau. Cet outil
intuitif permet de savoir très rapidement quelles régions du réseau sont potentiellement infectées. L’utilisateur peut filtrer
les menaces affichées par Reveelium avec les critères de son choix, en utilisant la barre de recherche.
Cliquer sur un élément appartenant à chacune de ces 3 vues
affiche le jeu d’alertes correspondant (même partiellement) au
scénario. Les détails associés au « threat object » sont affichés
dans le panneau droit de la page.