Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Core Wisdom, un visualiseur graphique d'évènements

Par Ludovic Blin, secuobs.com
Le 11/04/2006


Résumé : L'outil Core Wisdom de la société Core Security permet de centraliser et de corréler différents évènements, tout en les visualisant d'une manière graphique.



L'outil Core Wisdom de la société Core Security permet de centraliser et de corréler différents évènements, tout en les visualisant d'une manière graphique.

L'une des pratiques les plus importantes pour conserver un niveau de sécurité informatique correct est la centralisation et la surveillance des fichiers journaux des applications et systèmes de l'infrastructure. Pour cette tache, des outils peuvent être utilisés de manière à corréler les différents évènements recensés et pouvoir accéder rapidement aux informations les définissant. Mais, les analystes ou administrateurs qui utilisent ces consoles peuvent être rapidement dépassés face à un tel volume de données (en particulier dans le cas d'une infrastructure importante).

De manière à remédier à ce problème, des systèmes de visualisation graphique sont de plus en en plus utilisés. Ceux-ci permettent en effet de maximiser l'utilisation des capacités cognitives humaines. Il est en effet possible d'établir un profil graphique typique d'une utilisation normale. Toute déviation de ce schéma indique une activité anormales qui doit être étudiée d'une manière plus approfondie. Il est également possible grâce à ce type d'outil d'identifier plus rapidement des tendances.

La société Core Security met à disposition des internautes la suite d'outil Core Wisdom, qui permet de centraliser et de corréler des informations sur les évènements affectant la sécurité du réseau, tout en adoptant un mode de représentation graphique intuitif. Les différentes sources de données doivent être configurées dans un premier temps. Celles-ci peuvent être des fichiers logs, des bases des données (via ODBC), ou encore l'application d'enregistrement des journaux d'évènements de Windows (NT Event Logger).

En fonction des sources (et des applications associées à ces sources), il est ensuite possible de définir des règles d'extraction des informations (Parsing rules). Des filtres, ainsi que des techniques d'échantillonnage permettent de réduire éventuellement la quantité d'informations. Ces sources sont ensuite dirigées vers un entrepôt de donnée.

Les différentes informations sont ensuite visualisables sous la forme de différents rapports graphiques, établis en temps réel. Par exemple, pour un rapport de type résumé, les évènements vont être représentés sous forme de barres de couleur différente en fonction du nombre d'évènements par période de temps. Cela permet de visualiser instantanément les informations intéressantes sur une période.

D'autres types de graphiques plus avancés sont disponibles, comme par exemple les vues de corrélations, qui établissent des droites entre différentes caractéristiques d'évènements, représentées sous forme de points. Cette analyse permet d'obtenir une vue globale des corrélations habituelles, et éventuellement de détecter rapidement un trafic inhabituel.

Lors de la visualisation des graphes, la fenêtre du bas permet d'afficher les lignes de log relatives aux évènements sélectionnés par l'utilisateur. Il est également possible de zoomer.

lien