SlideShare une entreprise Scribd logo

Reveelium Technical Overview - Datasheet FR

ITrust - Cybersecurity as a Service
ITrust - Cybersecurity as a Service

Prérequis système Prérequis backend Prérequis minimales Etc.

Logiciels
1  sur  4
Télécharger pour lire hors ligne
REVEELIUM – PRÉSENTATION TECHNIQUE Le dimensionnement du matériel est entraîné par différents paramètres : * Performances de calculs : * taux d’événements * nombre de sources de données * nombre d’entités (IP, utilisateurs, etc.) * nombre d’études de cas, etc. * Disponibilité des services et des données. PRÉREQUIS SYSTÈME * Matériels basés sur X86_64 * Distribution Linux récente (testé sur Ubuntu Linux) * Docker et Docker-Compose PRÉREQUIS BACKEND * Apache Kafka * Confluent.io Kafka-Rest * KairosDB * HDFS * MongoDB Les journaux sont lus, analysés et stockés pour une durée déterminée dans le but d’une analyse a posteriori plus détaillée. Reveelium mets à la disposition d’un analyste toutes les résultats intermédiaires de son processus de détection. PRÉREQUIS MINIMALES Pour les configurations plus petites, non-critiques ou de test, une exigence minimale par serveur unique est de : * CPU : 8 cœurs / RAM : 16 Go / DD : 300 Go SOURCES DE DONNÉES Les séries temporelles sont utilisées dans l’analyse des menaces. Les journaux natives suivants sont utilisés : Netflow, Proxy, DNS... Reveelium peut interagir avec la plupart des SIEM (Splunk, ArcSight, RSA, Graylog) et applications (Active Directory, Apache, etc.). DATA SCIENTIST. NOUVEAUX CAS D'UTILISATION. THREAT MODULES. Reveelium n’est pas un simple produit. Nous pouvons adapter de nouveaux cas d'utilisation en fonction de vos besoins et mettre en œuvre de nouveaux modules de menace (« Threat Module »). Nous sommes également en mesure d’affiner le processus à l'aide d'un Data Scientist. Nous déployons Reveelium à l’intérieur du SI client durant 30 jours. Un Data Scientist analyse les nouveaux jeux de données et les nouveaux cas d’utilisation dans le but d’appliquer le meilleur algorithme de Reveelium. Après avoir étudié ce cas d’utilisation, il est ajouté à Reveelium en tant que nouveau module de détection des menaces. Nous proposons les modules de menace suivants : détection malware et APT, détection d'extraction de données, détection abus compte d'utilisateur, détection de la fraude bancaire, analyse SMTP mail log, analyse des flux de télécommunications ... TEMPS DE DETECTION MOYEN Domaines suspicieux : immédiat Analyse des données chronologiques : 1 jour Corrélation des alertes : 1 jour Stabilisation apprentissage automatique : 1 mois PROCESSUS D'IDENTIFICATION D’ANALYSE ET DE DETECTION DES COMPORTEMENTS MALVEILLANTS : 1. Surveiller toutes les sources de données disponibles 2a. Corréler les anomalies et les données contextuelles 2b. Détecter les anomalies à l’aide de Reveelium 3. Prioriser les réponses : validation par les opérateurs humains INTÉGRATION DE REVEELIUM DANS LE PROCESSUS ILLUSTRÉ CI-DESSUS :
INTERFACE HOMME – MACHINE & REPORTING OBJETS PRESENTANT UNE MENACE Du point de vue de l’utilisateur, examiner une par une les alertes remontées par Reveelium peut se révéler fastidieux, en particulier face à un large volume d’alertes. Pour aider l’utilisateur à détecter plus rapidement les comportements potentiellement dangereux, Reveelium met à disposition son moteur d’analyse des menaces. Celui ci tente de corréler les alertes aux scénarios génériques (i.e. des modèles comportementaux spécifiques basées sur des évènements ou des séquences d’évènements). Quand le comportement d’une machine correspond (même partiellement) à un tel scénario, un objet (« threat object ») est créé et remonté aux utilisateurs. Une menace regroupe les alertes qui correspondent (même partiellement) aux scénarios et qui ont été remontées au cours des dernières 24h. Un niveau de sévérité est attribué à ce jeu d’alertes, qui correspond au dégrée de réalisation d’un scénario. Comme mentionné précédemment, ces « threat objects » traitent les alertes remontées par Reveelium au cours de dernières 24h. De plus, les score d’un « threat object » peut évoluer avec le temps. Si aucune nouvelle alerte sur cette entité n’est remontée par Reveelium dans les 24h suivantes (i.e. alertes significatives pour un scénario donné), le « threat object » sera marqué comme inactif et supprimé de la liste de visualisation. PROPRIETES DES MENACES Entité : IP de la machine analysée Scénario : nom du scénario affectant l’entité Dernière observation : date de la dernière actualisation du « threat object » Prochaine observation : date de la prochaine actualisation Score : estimation numérique du niveau de risque de l’entité, entre 0 et 100 (peut être interprété comme un pourcentage de similitude avec le scénario spécifique) COMPOSANTS DE L’INTERFACE GRAPHIQUE La page Threats affiche 3 vues alternatives : une vue Entities qui regroupe les scénarios de menaces par entité (i.e. quand une entité ressemble à plusieurs scénarios), une vue Threats qui liste les menaces individuellement pour chaque entité et scénario, et une vue Network qui affiche le graph des menaces correspondent à une certaine topologie des entités (ici, le graph des sous-réseaux). Toutes ces vues sont synchronisées pour afficher le même type d’information, peu importe les filtres de visualisation choisis. Voir dans les images ci-dessous les trois vues. VUE ACCUEIL (« HOME ») Affiche chronologiquement les comportements anormaux, avec une priorisation par score.
INTERFACE HOMME – MACHINE & REPORTING ARBRE DE DECISION Permet l’analyse des anomalies et des alertes remontées. LISTE DES MENACES Affiche seulement la liste des menaces (i.e. pas regroupées par entité). LISTE DES ENTITES Affiche les menaces regroupées par entité (i.e. adresse IP).
CONTACT ITrust, 55 avenue de l’Occitane www.itrust.fr/en +33 (0)567 346 780 INTERFACE HOMME – MACHINE & REPORTING OUTILS DE VISUALISATION En plus des outils d’analyse décrits précédemment, Reveelium fournit des outils graphiques visant à aider l’utilisateur à examiner les statistiques à l’échelle globale et, potentiellement, à focaliser son investigation sur des items spécifiques. L’image ci-dessous montre une page Vision de l’historique du nombre d’alertes par entité dans un intervalle de temps donné : D’autres graphs, également visibles depuis le même menu, montrent la distribution du type d’alertes remontées par Reveelium, durant un intervalle de temps donné, ou le nombre d’alertes par entité durant un intervalle de temps spécifique. VUE RESEAU Affiche le graph des entités réseau et leurs niveaux de sévérité associés. Les deux premières vues affichent les éléments en fonction de leurs niveaux de sévérité. Néanmoins, l’utilisateur peut choisir dans le panneau d’options du coin supérieur gauche de classifier les entités en fonction de leur IP ou de leur score. La troisième option fournit une vue intégrée du niveau des menaces sur la topologie de tout le réseau. Cet outil intuitif permet de savoir très rapidement quelles régions du réseau sont potentiellement infectées. L’utilisateur peut filtrer les menaces affichées par Reveelium avec les critères de son choix, en utilisant la barre de recherche. Cliquer sur un élément appartenant à chacune de ces 3 vues affiche le jeu d’alertes correspondant (même partiellement) au scénario. Les détails associés au « threat object » sont affichés dans le panneau droit de la page.

Recommandé

Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_imaBlidaoui Abdelhak
 
The Science Of Facial Beauty
The Science Of Facial BeautyThe Science Of Facial Beauty
The Science Of Facial BeautyMardirossian Facial Aesthetics
 
Cuando no este la tierra
Cuando no este la tierraCuando no este la tierra
Cuando no este la tierraJean71321
 
1513 circles
1513 circles1513 circles
1513 circlesDr Fereidoun Dejahang
 
Ellies Commercial Solutions New-2
Ellies Commercial Solutions New-2Ellies Commercial Solutions New-2
Ellies Commercial Solutions New-2Bruno Fernandes
 
Encuentre la masa y el peso de 25000 litros de gasolina
Encuentre la masa y el peso de 25000 litros de gasolinaEncuentre la masa y el peso de 25000 litros de gasolina
Encuentre la masa y el peso de 25000 litros de gasolinavictorsigilo
 
ITC
ITCITC
ITCAvishek Gupta
 
10 Reformers Who Changed the World
10 Reformers Who Changed the World10 Reformers Who Changed the World
10 Reformers Who Changed the WorldPeter Hammond
 

Recommandé

Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_imaBlidaoui Abdelhak
 
The Science Of Facial Beauty
The Science Of Facial BeautyThe Science Of Facial Beauty
The Science Of Facial BeautyMardirossian Facial Aesthetics
 
Cuando no este la tierra
Cuando no este la tierraCuando no este la tierra
Cuando no este la tierraJean71321
 
1513 circles
1513 circles1513 circles
1513 circlesDr Fereidoun Dejahang
 
Ellies Commercial Solutions New-2
Ellies Commercial Solutions New-2Ellies Commercial Solutions New-2
Ellies Commercial Solutions New-2Bruno Fernandes
 
Encuentre la masa y el peso de 25000 litros de gasolina
Encuentre la masa y el peso de 25000 litros de gasolinaEncuentre la masa y el peso de 25000 litros de gasolina
Encuentre la masa y el peso de 25000 litros de gasolinavictorsigilo
 
ITC
ITCITC
ITCAvishek Gupta
 
10 Reformers Who Changed the World
10 Reformers Who Changed the World10 Reformers Who Changed the World
10 Reformers Who Changed the WorldPeter Hammond
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
Snort
SnortSnort
SnortTchadowNet
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéEChristophe-Alexandre PAILLARD
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Technet France
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoringKhalifa Tall
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Blandine Delaporte
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfngombeemmanuel
 
Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...ITrust - Cybersecurity as a Service
 
Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Blandine Delaporte
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromiseTarek MOHAMED
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016Blandine Delaporte
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsMohamed Ben Bouzid
 
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie NationaleAlerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationalepolenumerique33
 
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...ITrust - Cybersecurity as a Service
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
 
IT security : a five-legged sheep
IT security : a five-legged sheepIT security : a five-legged sheep
IT security : a five-legged sheepITrust - Cybersecurity as a Service
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?ITrust - Cybersecurity as a Service
 

Contenu connexe

Similaire à Reveelium Technical Overview - Datasheet FR

Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Technet France
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoringKhalifa Tall
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Blandine Delaporte
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfngombeemmanuel
 
Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...ITrust - Cybersecurity as a Service
 
Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Blandine Delaporte
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromiseTarek MOHAMED
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016Blandine Delaporte
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsMohamed Ben Bouzid
 
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie NationaleAlerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationalepolenumerique33
 
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...ITrust - Cybersecurity as a Service
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
 

Similaire à Reveelium Technical Overview - Datasheet FR (20)

Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Snort
SnortSnort
Snort
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
 
Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...
 
Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016Rapport Threat Intelligence Check Point du 20 juin 2016
Rapport Threat Intelligence Check Point du 20 juin 2016
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromise
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
 
Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016Rapport Threat Intelligence Check Point du 12 décembre 2016
Rapport Threat Intelligence Check Point du 12 décembre 2016
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les Honeyclients
 
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie NationaleAlerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
 
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
 

Plus de ITrust - Cybersecurity as a Service

L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéL’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéITrust - Cybersecurity as a Service
 
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéITrust - Cybersecurity as a Service
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersITrust - Cybersecurity as a Service
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesITrust - Cybersecurity as a Service
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...ITrust - Cybersecurity as a Service
 

Plus de ITrust - Cybersecurity as a Service (20)

IT security : a five-legged sheep
IT security : a five-legged sheepIT security : a five-legged sheep
IT security : a five-legged sheep
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
 
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéL’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Advanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalitéAdvanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalité
 
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changers
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menaces
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
 
L’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en AngleterreL’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en Angleterre
 
Ignorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDBIgnorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDB
 
Cisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magicCisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magic
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
 
ITrust Company Overview EN
ITrust Company Overview ENITrust Company Overview EN
ITrust Company Overview EN
 
SOC OEM - Datasheet FR
SOC OEM - Datasheet FRSOC OEM - Datasheet FR
SOC OEM - Datasheet FR
 
SOC OEM - Datasheet EN
SOC OEM - Datasheet ENSOC OEM - Datasheet EN
SOC OEM - Datasheet EN
 

Reveelium Technical Overview - Datasheet FR

  • 1. REVEELIUM – PRÉSENTATION TECHNIQUE Le dimensionnement du matériel est entraîné par différents paramètres : * Performances de calculs : * taux d’événements * nombre de sources de données * nombre d’entités (IP, utilisateurs, etc.) * nombre d’études de cas, etc. * Disponibilité des services et des données. PRÉREQUIS SYSTÈME * Matériels basés sur X86_64 * Distribution Linux récente (testé sur Ubuntu Linux) * Docker et Docker-Compose PRÉREQUIS BACKEND * Apache Kafka * Confluent.io Kafka-Rest * KairosDB * HDFS * MongoDB Les journaux sont lus, analysés et stockés pour une durée déterminée dans le but d’une analyse a posteriori plus détaillée. Reveelium mets à la disposition d’un analyste toutes les résultats intermédiaires de son processus de détection. PRÉREQUIS MINIMALES Pour les configurations plus petites, non-critiques ou de test, une exigence minimale par serveur unique est de : * CPU : 8 cœurs / RAM : 16 Go / DD : 300 Go SOURCES DE DONNÉES Les séries temporelles sont utilisées dans l’analyse des menaces. Les journaux natives suivants sont utilisés : Netflow, Proxy, DNS... Reveelium peut interagir avec la plupart des SIEM (Splunk, ArcSight, RSA, Graylog) et applications (Active Directory, Apache, etc.). DATA SCIENTIST. NOUVEAUX CAS D'UTILISATION. THREAT MODULES. Reveelium n’est pas un simple produit. Nous pouvons adapter de nouveaux cas d'utilisation en fonction de vos besoins et mettre en œuvre de nouveaux modules de menace (« Threat Module »). Nous sommes également en mesure d’affiner le processus à l'aide d'un Data Scientist. Nous déployons Reveelium à l’intérieur du SI client durant 30 jours. Un Data Scientist analyse les nouveaux jeux de données et les nouveaux cas d’utilisation dans le but d’appliquer le meilleur algorithme de Reveelium. Après avoir étudié ce cas d’utilisation, il est ajouté à Reveelium en tant que nouveau module de détection des menaces. Nous proposons les modules de menace suivants : détection malware et APT, détection d'extraction de données, détection abus compte d'utilisateur, détection de la fraude bancaire, analyse SMTP mail log, analyse des flux de télécommunications ... TEMPS DE DETECTION MOYEN Domaines suspicieux : immédiat Analyse des données chronologiques : 1 jour Corrélation des alertes : 1 jour Stabilisation apprentissage automatique : 1 mois PROCESSUS D'IDENTIFICATION D’ANALYSE ET DE DETECTION DES COMPORTEMENTS MALVEILLANTS : 1. Surveiller toutes les sources de données disponibles 2a. Corréler les anomalies et les données contextuelles 2b. Détecter les anomalies à l’aide de Reveelium 3. Prioriser les réponses : validation par les opérateurs humains INTÉGRATION DE REVEELIUM DANS LE PROCESSUS ILLUSTRÉ CI-DESSUS :
  • 2. INTERFACE HOMME – MACHINE & REPORTING OBJETS PRESENTANT UNE MENACE Du point de vue de l’utilisateur, examiner une par une les alertes remontées par Reveelium peut se révéler fastidieux, en particulier face à un large volume d’alertes. Pour aider l’utilisateur à détecter plus rapidement les comportements potentiellement dangereux, Reveelium met à disposition son moteur d’analyse des menaces. Celui ci tente de corréler les alertes aux scénarios génériques (i.e. des modèles comportementaux spécifiques basées sur des évènements ou des séquences d’évènements). Quand le comportement d’une machine correspond (même partiellement) à un tel scénario, un objet (« threat object ») est créé et remonté aux utilisateurs. Une menace regroupe les alertes qui correspondent (même partiellement) aux scénarios et qui ont été remontées au cours des dernières 24h. Un niveau de sévérité est attribué à ce jeu d’alertes, qui correspond au dégrée de réalisation d’un scénario. Comme mentionné précédemment, ces « threat objects » traitent les alertes remontées par Reveelium au cours de dernières 24h. De plus, les score d’un « threat object » peut évoluer avec le temps. Si aucune nouvelle alerte sur cette entité n’est remontée par Reveelium dans les 24h suivantes (i.e. alertes significatives pour un scénario donné), le « threat object » sera marqué comme inactif et supprimé de la liste de visualisation. PROPRIETES DES MENACES Entité : IP de la machine analysée Scénario : nom du scénario affectant l’entité Dernière observation : date de la dernière actualisation du « threat object » Prochaine observation : date de la prochaine actualisation Score : estimation numérique du niveau de risque de l’entité, entre 0 et 100 (peut être interprété comme un pourcentage de similitude avec le scénario spécifique) COMPOSANTS DE L’INTERFACE GRAPHIQUE La page Threats affiche 3 vues alternatives : une vue Entities qui regroupe les scénarios de menaces par entité (i.e. quand une entité ressemble à plusieurs scénarios), une vue Threats qui liste les menaces individuellement pour chaque entité et scénario, et une vue Network qui affiche le graph des menaces correspondent à une certaine topologie des entités (ici, le graph des sous-réseaux). Toutes ces vues sont synchronisées pour afficher le même type d’information, peu importe les filtres de visualisation choisis. Voir dans les images ci-dessous les trois vues. VUE ACCUEIL (« HOME ») Affiche chronologiquement les comportements anormaux, avec une priorisation par score.
  • 3. INTERFACE HOMME – MACHINE & REPORTING ARBRE DE DECISION Permet l’analyse des anomalies et des alertes remontées. LISTE DES MENACES Affiche seulement la liste des menaces (i.e. pas regroupées par entité). LISTE DES ENTITES Affiche les menaces regroupées par entité (i.e. adresse IP).
  • 4. CONTACT ITrust, 55 avenue de l’Occitane www.itrust.fr/en +33 (0)567 346 780 INTERFACE HOMME – MACHINE & REPORTING OUTILS DE VISUALISATION En plus des outils d’analyse décrits précédemment, Reveelium fournit des outils graphiques visant à aider l’utilisateur à examiner les statistiques à l’échelle globale et, potentiellement, à focaliser son investigation sur des items spécifiques. L’image ci-dessous montre une page Vision de l’historique du nombre d’alertes par entité dans un intervalle de temps donné : D’autres graphs, également visibles depuis le même menu, montrent la distribution du type d’alertes remontées par Reveelium, durant un intervalle de temps donné, ou le nombre d’alertes par entité durant un intervalle de temps spécifique. VUE RESEAU Affiche le graph des entités réseau et leurs niveaux de sévérité associés. Les deux premières vues affichent les éléments en fonction de leurs niveaux de sévérité. Néanmoins, l’utilisateur peut choisir dans le panneau d’options du coin supérieur gauche de classifier les entités en fonction de leur IP ou de leur score. La troisième option fournit une vue intégrée du niveau des menaces sur la topologie de tout le réseau. Cet outil intuitif permet de savoir très rapidement quelles régions du réseau sont potentiellement infectées. L’utilisateur peut filtrer les menaces affichées par Reveelium avec les critères de son choix, en utilisant la barre de recherche. Cliquer sur un élément appartenant à chacune de ces 3 vues affiche le jeu d’alertes correspondant (même partiellement) au scénario. Les détails associés au « threat object » sont affichés dans le panneau droit de la page.