Fonctionnalités principales de Security Analytics

Symantec Security Analytics est une solution ultra-efficace dont l'objectif est d'équiper les équipes d'intervention en cas d'incident contre les menaces modernes. Dotée d'une multitude de technologies et de fonctions primées, Security Analytics vous offre les outils dont vous avez besoin pour mettre au jour la source et toute l'étendue d'une menace ou attaque ciblant votre pool d'informations. Elle décuple également la vitesse des procédures approfondies d'analyse réseau.

Vue récapitulative

Avec Security Analytics, vous avez la possibilité de créer de multiples vues personnalisées pour chaque cas d'utilisation, adaptées à votre workflow d'intervention en cas d'incident. Ajoutez et adaptez vos widgets de rapport à la vue sélectionnée pour afficher les données résumées dans des tables, des diagrammes en secteurs, à barres ou à colonnes. Créez de nouvelles vues pour certains cas d'utilisation spécifiques. Quelles que soient vos préférences, la vue récapitulative vous met au fait de la situation de votre réseau en un instant, via une page unique.

Rapports actifs

Identifiez les exploits et malwares difficiles à repérer grâce aux rapports Symantec Security Analytics, qui offrent une présentation détaillée et précise de votre trafic réseau et facilite les interventions simultanées en cas d'incident. Les rapports constituent un point de navigation clé, car ils permettent aux utilisateurs, même novices, de repérer les données cibles plus rapidement et très précisément. Il existe plusieurs catégories de rapports :

  • Applications
  • DNS
  • Activités de messagerie électronique
  • Chiffrement
  • Fichiers
  • Géolocalisation
  • Paquets réseau
  • Personas de réseaux sociaux
  • Informations sur les menaces
  • Activités web

Extraction d'artefacts

La capacité de Security Analytics à reconstituer le trafic réseau en temps réel fait d'elle la solution la plus apte à évaluer la situation de votre réseau. Fournissez des preuves répondant aux besoins. À chaque fois qu'un paquet est capturé et classé, vous pouvez exécuter la découverte, la reconstruction et la distribution des fichiers à leur format d'origine de manière intuitive et en toute simplicité. Visualisez les pages web comme elles l'ont été côté utilisateur. Consultez les conversations par messagerie instantanée ou électronique. Reconstituez des PDF, documents Word, PPT, feuilles de calcul Excel et bien d'autres types de fichier, à leur format d'origine. Surveillez un hôte ou un individu pour être en mesure de présenter des preuves identifiables plutôt qu'un ensemble de paquets. Une chronologie d'artefacts fournit un histogramme des artefacts réseau au fil du temps. Elle permet aux spécialistes d'intervention en cas d'incident de visualiser rapidement une séquence d'événements et améliore considérablement les performances de la recherche d'artefacts.

Extraction d'artefacts

Aperçu des artefacts

Avec la possibilité de reconstruire le trafic réseau à partir de ses artefacts, Security Analytics offre également une fonctionnalité d'aperçu. Cette fonctionnalité permet d'afficher le contenu à l'aide de différentes méthodes : les pages web peuvent être prévisualisées exactement comme l'utilisateur les a vues, les enregistrements VoIP peuvent être rejoués au format audio et dans de nombreux autres formats en fonction du contenu qui est reconstruit.

Classification des applications

Identifiez les activités réseau en étudiant de près les données des paquets afin de détecter tout signe révélateur d'activité malveillante. Symantec Security Analytics classe plus d'applications transitant sur votre réseau que toute autre solution d'investigation réseau. Elle reconnaît plus de 3 100 applications et des milliers d'attributs, tous indexés pour faciliter la recherche et la récupération. Vous pouvez identifier des applications spécifiques sur votre trafic réseau, mais également rechercher des attributs de métadonnées sur les flux du réseau tels que À, De, Objet, Protocole, Lanceur de tunnel, Type MIME présenté, Type de fichier détecté (numéro magique), entre autres.

Classification des applications

Métadonnées sélectionnables par l'utilisateur

Sélectionnez simplement une case pour activer ou désactiver des centaines de types de métadonnées et leurs rapports associés. Cela permet aux systèmes d'être adaptés à l'environnement dans lequel ils sont déployés. En cas de nécessité urgente de capture de paquets brute, sans besoins importants d'enrichissement des métadonnées, Security Analytics est une valeur sûre. Désactivez l'enrichissement de données, au besoin, et améliorez les performances de la capture, via une appliance unique.

Métadonnées sélectionnables par l'utilisateur

Symantec Intelligence Services

Tout le trafic capturé via une appliance Symantec Security Analytics est analysé à la recherche de menaces provenant du Web, de la messagerie électronique ou d'un fichier. Security Analytics utilise Intelligence Services for Security Analytics pour exploiter le réseau Symantec Global Intelligence Network, qui comporte des renseignements sur les menaces provenant de 175 millions de terminaux ayant signalé des milliards de menaces web et d'URL.

Services de renseignements Blue Coat

Services de réputation/enrichissement des données

Tout le trafic capturé via une appliance Symantec Security Analytics est analysé à la recherche de menaces provenant du Web, de la messagerie électronique ou d'un fichier. Security Analytics utilise Intelligence Services for Security Analytics pour exploiter le réseau Symantec Global Intelligence Network, qui comporte des renseignements sur les menaces provenant de 175 millions de terminaux ayant signalé des milliards de menaces web et d'URL. Le contenu inconnu peut être envoyé à Content Analysis pour une inspection plus approfondie et le sandboxing. En outre, Security Analytics exécute les vérifications de réputation à la demande de plusieurs fournisseurs réputés de renseignements sur les menaces, dont :

  • VirusTotal
  • Google Safe Browsing
  • Domain Age
  • RobTex
  • Team Cyrmu
  • LastLine
  • SORBS
  • YARA
  • WHOIS

Indicateurs/règles

Les indicateurs utilisent un langage structuré pour observer et identifier les activités spécifiques. Utilisez des attributs de métadonnées intégrés, des données d'indicateur tiers automatiquement mises à jour ou des mises à jour personnalisées à partir de quasiment n'importe quelle source.

Les règles permettent d'automatiser les alertes et les actions communes pour une analyse supplémentaire, en fonction de n'importe quel indicateur. Par exemple, exportez automatiquement des données vers un PCAP, enrichissez des métadonnées conservées ou envoyez vers des partages de fichiers, analysez avec des outils tiers tels que DLP ou des solutions de terminal client. Ajustez la fréquence des notifications selon les besoins de votre équipe d'intervention en cas d'incident et de vos processus.

Indicateurs/règles

Tableau de bord des alertes

Pour vous présenter efficacement vos activités réseau et vous soumettre immédiatement les alertes prioritaires, le tableau de bord de gestion des alertes est la page d'accueil de l'interface web de Security Analytics. Cette nouvelle vue présente un histogramme des alertes ainsi que des « cartes d'alerte » qui vous permettent d'accéder à des listes filtrées d'alertes et à leurs scores de menace. Sur cette page, vous pouvez filtrer vos alertes par IP, indicateur ou niveau de menace.

Tableau de bord des alertes

Analyseur de paquets

Pour les personnes qui aiment les paquets corrects (et quelle équipe d'intervention en cas d'incident ne les aimeraient pas ?) mais détestent les étapes d'analyse multiples, Security Analytics inclut directement sur l'appliance un analyseur de paquet complet. Inutile de transférer d'énormes fichiers via le réseau pour seulement réaliser que les paquets recherchés ne s'y trouvent pas. Utilisez la syntaxe du filtre Wireshark et effectuez votre analyse approfondie sans devoir quitter le confort de l'interface de Security Analytics. Vous êtes en permanence à un clic des résultats filtrés. Une véritable puissance !

Analyseur de paquets

Détection des anomalies

La fonction de détection d'anomalies, nouvellement introduite, exécute des analyses statistiques sur les données collectées et vous alerte de tout comportement anormal. Lorsque vous passez d'une alerte à la vue Anomaly Investigation (Recherche approfondie des anomalies), vous pouvez découvrir quand l'anomalie s'est produite, à quelle fréquence et quels autres terminaux client sont touchés.

Détection des anomalies

PCAP Import

L'analyse sophistiquée de Security Analytics peut s'appliquer à des PCAP d'autres sources en votre possession. Vous pouvez également optimiser le stockage Security Analytics disponible en exportant le trafic réseau capturé en tant que PCAP sur le stockage externe pour une importation et une analyse ultérieure selon les besoins. PCAP Import permet également aux analystes d'investigation et aux équipes d'intervention en cas d'incident d'obtenir des informations et une analyse détaillées des PCAP fournis à partir des sources externes.

PCAP Import

Intégrations parfaites

Symantec Security Analytics intègre la pointe des technologies de sécurité réseau, pour un basculement direct depuis une alerte ou un journal et la présentation des détails d'un paquet et d'artefacts concernant l'événement, avant, pendant et après l'alerte. L'API REST de services web ouverte vous permet d'exploiter des technologies telles que HP ArcSight, Splunk, IBM Qradar, Guidance, Countertack, Symantec ATP et bien plus encore. Rationalisez votre workflow d'intervention en cas d'incident et apprenez-en plus sur la source et l'étendue d'une attaque.

Intégrations parfaites

Central Manager

Central Manager fournit un point de gestion unique pour l'appliance Security Analytics, les machines virtuelles et les déploiements de stockage haute densité. Il offre un accès centralisé à tous les capteurs Security Analytics pour la gestion et les recherches agrégées et dirigées, sans nécessiter une réplication importante des données. Prenant en charge plus de 200 capteurs, Central Manager permet aux équipes d'intervention en cas d'incident d'effectuer facilement des investigations mondiales complètes et efficaces dans toute l'entreprise.

Central Manager

Panneau multimédia

Rien de tel qu'une photographie pour raconter une histoire. Lorsque vous essayez de mettre en œuvre une politique d'utilisation acceptable d'Internet, voyez rapidement quelles images parviennent sur votre réseau et qui les affiche. Le panneau multimédia vous permet d'afficher et d'analyser rapidement tous les fichiers image et audio pour voir exactement ce que l'utilisateur a consulté. Filtrez par fichier, extension ou taille et métadonnées associées (par exemple, URL, IP source/de destination, taille ou type MIME). Une photographie vaut tous les mots et peut révéler des détails d'une activité non sanctionnée ou malveillante.

Géolocalisation

Avec Security Analytics Geolocation, vous voyez l'origine et la destination de tout le trafic réseau. Identifiez les tendances et les concentrations de trafic vers et depuis des emplacement inhabituels. Voyez les points chaud d'activité, effectuez un zoom avant sur des chemins spécifiques et marquez les adresses IP, les emplacements et même les pays qui vous paraissent suspects. Des tendances de trafic anormales peuvent être le point de départ d'une investigation et réduire votre temps de résolution. Exportez le trafic réseau sous forme de fichier .klm et importez-le dans Google Earth. Repérez ainsi tout trafic provenant d'un pays restreint sur votre réseau.

Root Cause Explorer

Allez rapidement à la cause fondamentale d'une attaque grâce au traçage automatique des chaînes de référent HTTP. Root Cause Explorer met en corrélation les données pertinentes d'e-mail, de message instantané et HTTP pour une analyse et une découverte rapides de la méthode par laquelle la menace a pénétré le réseau et des activités qui ont suivies. Comme l'a affirmé un utilisateur – « Vous avez rendu l'une des fonctions essentielles les plus chronophages de mon travail aussi simple que d'appuyer sur un bouton... Ça a été facile ! »

Root Cause Explorer

SCADA

Les systèmes de contrôle industriel (ICS) sont des cibles privilégiées pour les cyberattaques et, comme le reste du réseau, vous devez en avoir une visibilité complète. Security Analytics prend en charge l'analyse du protocole SCADA et met les performances de Symantec Security Analytics au profit des environnements de contrôle industriel. Security Analytics surveille les protocoles Modbus et DNP3, fréquemment utilisés sur les réseaux qui contrôlent les opérations des installations nucléaires, des usines de traitement des eaux, des centrales électriques, des raffineries, des centres de productions, entre autres. L'utilisation d'indicateurs, de règles (notifications) et de la détection d'anomalies est possible sur les attributs SCADA indexés.

PCAP Import

Filtrage dynamique

Il existe plusieurs types de trafic... et certains sont plus dangereux que d'autres. Vos équipes d'intervention en cas d'incident peuvent prendre la décision d'exclure tout trafic considéré comme inoffensif et de mettre la priorité sur le stockage de capture disponible afin d'optimiser leurs investissements. Avec Security Analytics, vous pouvez appliquer des filtres et choisir de ne pas collecter certains paquets en fonction des règles appliquées. Éliminez les vidéos et la musique en streaming, les données de visioconférence, et bien plus encore. Votre fenêtre de capture se verra optimisée, de manière à pouvoir vous recentrer sur les éléments que vous pensez être prioritaires.

Filtrage dynamique

Filtrage et relecture de trafic

Filtrez le trafic entrant et sortant par protocole, adresse IP, adresse MAC, type de charge utile ou schéma de bit unique. Filtrez au niveau de l'en-tête ou de la charge utile. Appliquez plusieurs filtres, avec la possibilité de lancer et d'arrêter des filtres à tout moment, tout en continuant à capturer le trafic. Vous pouvez également importer des filtres iImport au format BPF (Berkley Packet Filter) standard. Passez en revue le trafic capturé sur d'autres outils pour vérifier leur efficacité une fois qu'ils ont reçu de nouvelles signatures ou de nouveaux renseignements sur les menaces. En observant le trafic jusqu'aux outils mis à jour, vous pouvez déterminer si vous avez été infecté avant la classification de cette nouvelle menace. Ce niveau de contrôle n'est offert que par Symantec Security Analytics. Il vous offre la flexibilité de capturer et de diriger le trafic qui vous semble le plus important pour vos recherches.

Filtrage et relecture de trafic

Rapports comparatifs

Comparez le trafic réseau capturé à des périodes précédentes afin d'identifier les tendances anormales et d'établir une base pour mettre en évidence et signaler les écarts. Les rapports comparatifs vous permettent de comprendre les tendances dans le temps et de déterminer si une investigation approfondie est nécessaire.

Rapports comparatifs

Performances/évolution

Les appliances Symantec Security Analytics capturent tout élément franchissant votre réseau (en-tête de paquet et charge utile) et vous offrent ainsi un aperçu complet et scientifiquement fiable de l'activité en cours sur le réseau. Seules les appliances Security Analytics répondent aux lourdes exigences des réseaux d'entreprise et administratifs les plus importants, tout en reconstruisant et en fournissant rapidement les fichiers réels dans des téraoctets de données de paquet brutes.

Les options de déploiement vont des appliances de petite taille ou de succursale aux appliances haute densité 10Gb avec stockage extensible pour les réseaux les plus rapides d'aujourd'hui. Seul Symantec Security Analytics vous donne la possibilité de procéder également à un déploiement en tant qu'appliance virtuelle. Les grandes entreprises ayant un réseau onéreux ont choisi Symantec comme seule solution capable de répondre à leurs besoins d'intervention en cas d'incident et d'investigation réseau avancée, aujourd'hui comme demain.

Comme Security Analytics reçoit passivement le trafic à partir d'un flux ou d'un SPAN, elle est invisible au reste de votre réseau et capture le trafic à la vitesse de la ligne sans ajouter de latence.

Performances/évolution

Conservation étendue des métadonnées

Optimisez le stockage disponible sur votre appliance Symantec Security Analytics et agrandissez la fenêtre de vos données d'investigation. Créez des affectations indépendantes de stockage pour les métadonnées et les paquets entiers. Ceci autorise la conservation et l'analyse de périodes plus longues de métadonnées et de paquets (semaines, mois ou davantage). Ceci autorise une fenêtre à long terme pour l'analyse des tendances et optimise la quantité limitée de stockage.

Conservation étendue des métadonnées