Je suis à la recherche d'informations diverses et variées sur les solutions
de gestion de la chaîne de supervision des alertes sécurité.
En fait, j'attend surtout un retour d'expérience et des avis sur les
solutions des constructeurs suivants :
Netforensics
Micromuse
ISS protector
Symantec et SIM/Sesa
IV2
Prelude (open source)
Une solution externalisée type MSSP (symantec ou autre)
Je m'en suis déjà fait ma petite idée sur des aspects fonctionnels,
mainteant j'aimerai avoir des avis d'utilisateur.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"Whatever" wrote in message news:4134dfd8$0$30071$
Je suis à la recherche d'informations diverses et variées sur les solutions de gestion de la chaîne de supervision des alertes sécurité.
Je ne comprends pas bien la question :-/
En fait, j'attend surtout un retour d'expérience et des avis sur les solutions des constructeurs suivants :
Netforensics
De ce que j ai pu en voir, c est surtout un outil de forensic, c est a dire d analyse reseau apres coup, en epluchant les logs (il vous met tout bien sous forme graphique, animee et tout et tout) Par contre, je ne crois pas qu il fasse de correlation de logs.
Micromuse
Je suppose que vous parlez de NFSM (netcool for security mangement) C est un outils de correlation de logs et d historisation. Pour l avoir teste, ca marche pas mal, par contre, comme tout outil, son efficacite vient en grande partie de la conf mise en place. Ca permet de recuperer les logs des equipements reseau et securite et de faire de la correlation entre eux.
ISS protector Symantec et SIM/Sesa IV2 Prelude (open source) Une solution externalisée type MSSP (symantec ou autre)
Connais point, mais ne sont ce pas de simples IDS ?
Je m'en suis déjà fait ma petite idée sur des aspects fonctionnels, mainteant j'aimerai avoir des avis d'utilisateur.
Sur NFSM, je suis satisfait.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Whatever" <donotreply@nomail.com> wrote in message
news:4134dfd8$0$30071$626a14ce@news.free.fr
Je suis à la recherche d'informations diverses et variées sur les solutions
de gestion de la chaîne de supervision des alertes sécurité.
Je ne comprends pas bien la question :-/
En fait, j'attend surtout un retour d'expérience et des avis sur les
solutions des constructeurs suivants :
Netforensics
De ce que j ai pu en voir, c est surtout un outil de forensic, c est
a dire d analyse reseau apres coup, en epluchant les logs (il vous met
tout bien sous forme graphique, animee et tout et tout)
Par contre, je ne crois pas qu il fasse de correlation de logs.
Micromuse
Je suppose que vous parlez de NFSM (netcool for security mangement)
C est un outils de correlation de logs et d historisation. Pour
l avoir teste, ca marche pas mal, par contre, comme tout outil, son
efficacite vient en grande partie de la conf mise en place.
Ca permet de recuperer les logs des equipements reseau et securite
et de faire de la correlation entre eux.
ISS protector
Symantec et SIM/Sesa
IV2
Prelude (open source)
Une solution externalisée type MSSP (symantec ou autre)
Connais point, mais ne sont ce pas de simples IDS ?
Je m'en suis déjà fait ma petite idée sur des aspects fonctionnels,
mainteant j'aimerai avoir des avis d'utilisateur.
Sur NFSM, je suis satisfait.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Whatever" wrote in message news:4134dfd8$0$30071$
Je suis à la recherche d'informations diverses et variées sur les solutions de gestion de la chaîne de supervision des alertes sécurité.
Je ne comprends pas bien la question :-/
En fait, j'attend surtout un retour d'expérience et des avis sur les solutions des constructeurs suivants :
Netforensics
De ce que j ai pu en voir, c est surtout un outil de forensic, c est a dire d analyse reseau apres coup, en epluchant les logs (il vous met tout bien sous forme graphique, animee et tout et tout) Par contre, je ne crois pas qu il fasse de correlation de logs.
Micromuse
Je suppose que vous parlez de NFSM (netcool for security mangement) C est un outils de correlation de logs et d historisation. Pour l avoir teste, ca marche pas mal, par contre, comme tout outil, son efficacite vient en grande partie de la conf mise en place. Ca permet de recuperer les logs des equipements reseau et securite et de faire de la correlation entre eux.
ISS protector Symantec et SIM/Sesa IV2 Prelude (open source) Une solution externalisée type MSSP (symantec ou autre)
Connais point, mais ne sont ce pas de simples IDS ?
Je m'en suis déjà fait ma petite idée sur des aspects fonctionnels, mainteant j'aimerai avoir des avis d'utilisateur.
Sur NFSM, je suis satisfait.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Allan J. Wilson
Netforensics Micromuse ISS protector Symantec et SIM/Sesa IV2 Prelude (open source) Une solution externalisée type MSSP (symantec ou autre)
Hello,
D'office, par leur experience et leur absolue reactivite, ISS (Internet Security Systems - www.iss.net) et le produit phare Real Secure Site Protector. ISS est le seul a avoir un departement R&D, les autres copies ou attendent les CERT comme Cisco Systems et Symantec.
Si tu (n'as pas l'argent pour te payer Site Protector et que) veux du Managed Security Services (MSS), tu as http://mss.iss.net
Allan
Netforensics
Micromuse
ISS protector
Symantec et SIM/Sesa
IV2
Prelude (open source)
Une solution externalisée type MSSP (symantec ou autre)
Hello,
D'office, par leur experience et leur absolue reactivite, ISS (Internet
Security Systems - www.iss.net) et le produit phare Real Secure Site
Protector. ISS est le seul a avoir un departement R&D, les autres copies
ou attendent les CERT comme Cisco Systems et Symantec.
Si tu (n'as pas l'argent pour te payer Site Protector et que) veux du
Managed Security Services (MSS), tu as http://mss.iss.net
Netforensics Micromuse ISS protector Symantec et SIM/Sesa IV2 Prelude (open source) Une solution externalisée type MSSP (symantec ou autre)
Hello,
D'office, par leur experience et leur absolue reactivite, ISS (Internet Security Systems - www.iss.net) et le produit phare Real Secure Site Protector. ISS est le seul a avoir un departement R&D, les autres copies ou attendent les CERT comme Cisco Systems et Symantec.
Si tu (n'as pas l'argent pour te payer Site Protector et que) veux du Managed Security Services (MSS), tu as http://mss.iss.net
Allan
Allan J. Wilson
[...]
D'office, par leur experience et leur absolue reactivite, ISS (Internet Security Systems - www.iss.net) et le produit phare Real Secure Site
Reactivite *ET SURTOUT* Prevention.
Comme sondes, ils ont:
. Proventia A qui est un IDS passif,
. Proventia G qui est un IDS passif et actif. La difference est que ACTIF bloquera la menace et donc ton business fonctionne toujours :) Le passif t'informera et les SOC Engineers d'ISS ne sauront rien faire a part te demander de patcher.
. Proventia M qui est le systeme "pare-feux" d'ISS, Antivirus et Content Filtering.
Plus de details sur www.iss.net/proventia
Toutes ces appliance s'integrent a Site Protector.
ISS a toujours une offre Server_Sensor. C'est un agent a installer sur tes serveurs Windows ou Solaris qui rapporte a Site Protector ce qui se passe de mal sur ton systeme.
Et sans oublier Internet Scanner qui vient faire l'analyse de tes systems aifin de prevenir les mauvais patcheurs, les IDS mal configures et les pare-feux a corriger.
Les concurrents...
1. Symantec a des solutions mais pas de R&D (http://xforce.iss.net)
2. Cisco suit les CERT, la secu n'est pas son core-business masi le routing/switchin) meme si PIX qui etait a l'origine une "boite" pour faire du NAT.
3. CheckPoint "Smasrt Defense" est trop High-End et encore plus cher qu'ISS.
4.... blah blah blah
Internet Security Systems a 62% des parts de ce marche.
En outre, ISS fait aussi des "Pen Tests" et de la consultance pour avoir un bon desing...
Le departement "MSS - Managed Security Services" et capable de deployer pratiquement toutes les solution existantes sur le marche et des les supervisees. Ils ont un SOC 24/7/365 a Atlanta, Tokyo et a Bruxelles.
http://mss.iss.net/
[...]
Allan
[...]
D'office, par leur experience et leur absolue reactivite, ISS (Internet
Security Systems - www.iss.net) et le produit phare Real Secure Site
Reactivite *ET SURTOUT* Prevention.
Comme sondes, ils ont:
. Proventia A qui est un IDS passif,
. Proventia G qui est un IDS passif et actif. La difference
est que ACTIF bloquera la menace et donc ton business
fonctionne toujours :) Le passif t'informera et les SOC
Engineers d'ISS ne sauront rien faire a part te demander
de patcher.
. Proventia M qui est le systeme "pare-feux" d'ISS, Antivirus
et Content Filtering.
Plus de details sur www.iss.net/proventia
Toutes ces appliance s'integrent a Site Protector.
ISS a toujours une offre Server_Sensor. C'est un agent a installer sur
tes serveurs Windows ou Solaris qui rapporte a Site Protector ce qui se
passe de mal sur ton systeme.
Et sans oublier Internet Scanner qui vient faire l'analyse de tes
systems aifin de prevenir les mauvais patcheurs, les IDS mal configures
et les pare-feux a corriger.
Les concurrents...
1. Symantec a des solutions mais pas de R&D (http://xforce.iss.net)
2. Cisco suit les CERT, la secu n'est pas son core-business masi le
routing/switchin) meme si PIX qui etait a l'origine une "boite" pour
faire du NAT.
3. CheckPoint "Smasrt Defense" est trop High-End et encore plus cher qu'ISS.
4.... blah blah blah
Internet Security Systems a 62% des parts de ce marche.
En outre, ISS fait aussi des "Pen Tests" et de la consultance pour avoir
un bon desing...
Le departement "MSS - Managed Security Services" et capable de deployer
pratiquement toutes les solution existantes sur le marche et des les
supervisees. Ils ont un SOC 24/7/365 a Atlanta, Tokyo et a Bruxelles.
D'office, par leur experience et leur absolue reactivite, ISS (Internet Security Systems - www.iss.net) et le produit phare Real Secure Site
Reactivite *ET SURTOUT* Prevention.
Comme sondes, ils ont:
. Proventia A qui est un IDS passif,
. Proventia G qui est un IDS passif et actif. La difference est que ACTIF bloquera la menace et donc ton business fonctionne toujours :) Le passif t'informera et les SOC Engineers d'ISS ne sauront rien faire a part te demander de patcher.
. Proventia M qui est le systeme "pare-feux" d'ISS, Antivirus et Content Filtering.
Plus de details sur www.iss.net/proventia
Toutes ces appliance s'integrent a Site Protector.
ISS a toujours une offre Server_Sensor. C'est un agent a installer sur tes serveurs Windows ou Solaris qui rapporte a Site Protector ce qui se passe de mal sur ton systeme.
Et sans oublier Internet Scanner qui vient faire l'analyse de tes systems aifin de prevenir les mauvais patcheurs, les IDS mal configures et les pare-feux a corriger.
Les concurrents...
1. Symantec a des solutions mais pas de R&D (http://xforce.iss.net)
2. Cisco suit les CERT, la secu n'est pas son core-business masi le routing/switchin) meme si PIX qui etait a l'origine une "boite" pour faire du NAT.
3. CheckPoint "Smasrt Defense" est trop High-End et encore plus cher qu'ISS.
4.... blah blah blah
Internet Security Systems a 62% des parts de ce marche.
En outre, ISS fait aussi des "Pen Tests" et de la consultance pour avoir un bon desing...
Le departement "MSS - Managed Security Services" et capable de deployer pratiquement toutes les solution existantes sur le marche et des les supervisees. Ils ont un SOC 24/7/365 a Atlanta, Tokyo et a Bruxelles.
http://mss.iss.net/
[...]
Allan
Nicob
[J'suis en vacances, alors excusez SVP les délais de réponse]
On Tue, 31 Aug 2004 20:48:16 +0000, Whatever wrote:
Je suis à la recherche d'informations diverses et variées sur les solutions de gestion de la chaîne de supervision des alertes sécurité.
Pour info, je bosse pour une société ayant entre autres un département MSSP. Donc, mon avis peut être biaisé.
Prelude (open source)
Le framework de communication ainsi que le LML sont très bons. Mais il faut des composants supplémentaires non disponibles en OpenSource pour en faire quelquechose de vraiment efficace.
Une solution externalisée type MSSP (symantec ou autre)
Exaprotect (http://www.exaprotect.com) édite un logiciel nommé EAS et permettant soit de monter une archi interne de supervision de la sécurité (si les compétences/moyens sont présents) soit de fournir un service de type MSSP à des clients.
J'utilise cette techno depuis 2 ans au sein du département MSSP de mon employeur (nous sommes bien sûr notre propre client, ie. on monitore notre archi avec cette solution). J'en suis très content, mais je ne préfère pas m'étendre sur de tels critères subjectifs.
Description générale du produit : http://www.exaprotect.com/fr/eas-1.jsp
Le logiciel (côté serveur) en détail : http://www.exaprotect.com/fr/eas-5.jsp
Le soft fournit normalisation sémantique et syntaxique des messages (afin de tout avoir en IDMEF), puis corrélation/stockage de ces données, avec interface d'acquitement des alertes et de visualisation des rapports synthétiques ou données brutes. La création de scénarios de corrélation permet de plus d'extraire des infos pertinentes (mais non liées de manière évidente) d'une masse importante de logs.
Nicob
[J'suis en vacances, alors excusez SVP les délais de réponse]
On Tue, 31 Aug 2004 20:48:16 +0000, Whatever wrote:
Je suis à la recherche d'informations diverses et variées sur les
solutions de gestion de la chaîne de supervision des alertes
sécurité.
Pour info, je bosse pour une société ayant entre autres un département
MSSP. Donc, mon avis peut être biaisé.
Prelude (open source)
Le framework de communication ainsi que le LML sont très bons. Mais il
faut des composants supplémentaires non disponibles en OpenSource pour en
faire quelquechose de vraiment efficace.
Une solution externalisée type MSSP (symantec ou autre)
Exaprotect (http://www.exaprotect.com) édite un logiciel nommé EAS et
permettant soit de monter une archi interne de supervision de la
sécurité (si les compétences/moyens sont présents) soit de fournir un
service de type MSSP à des clients.
J'utilise cette techno depuis 2 ans au sein du département MSSP de mon
employeur (nous sommes bien sûr notre propre client, ie. on monitore
notre archi avec cette solution). J'en suis très content, mais je ne
préfère pas m'étendre sur de tels critères subjectifs.
Description générale du produit :
http://www.exaprotect.com/fr/eas-1.jsp
Le logiciel (côté serveur) en détail :
http://www.exaprotect.com/fr/eas-5.jsp
Le soft fournit normalisation sémantique et syntaxique des messages (afin
de tout avoir en IDMEF), puis corrélation/stockage de ces données, avec
interface d'acquitement des alertes et de visualisation des rapports
synthétiques ou données brutes. La création de scénarios de
corrélation permet de plus d'extraire des infos pertinentes (mais non
liées de manière évidente) d'une masse importante de logs.
[J'suis en vacances, alors excusez SVP les délais de réponse]
On Tue, 31 Aug 2004 20:48:16 +0000, Whatever wrote:
Je suis à la recherche d'informations diverses et variées sur les solutions de gestion de la chaîne de supervision des alertes sécurité.
Pour info, je bosse pour une société ayant entre autres un département MSSP. Donc, mon avis peut être biaisé.
Prelude (open source)
Le framework de communication ainsi que le LML sont très bons. Mais il faut des composants supplémentaires non disponibles en OpenSource pour en faire quelquechose de vraiment efficace.
Une solution externalisée type MSSP (symantec ou autre)
Exaprotect (http://www.exaprotect.com) édite un logiciel nommé EAS et permettant soit de monter une archi interne de supervision de la sécurité (si les compétences/moyens sont présents) soit de fournir un service de type MSSP à des clients.
J'utilise cette techno depuis 2 ans au sein du département MSSP de mon employeur (nous sommes bien sûr notre propre client, ie. on monitore notre archi avec cette solution). J'en suis très content, mais je ne préfère pas m'étendre sur de tels critères subjectifs.
Description générale du produit : http://www.exaprotect.com/fr/eas-1.jsp
Le logiciel (côté serveur) en détail : http://www.exaprotect.com/fr/eas-5.jsp
Le soft fournit normalisation sémantique et syntaxique des messages (afin de tout avoir en IDMEF), puis corrélation/stockage de ces données, avec interface d'acquitement des alertes et de visualisation des rapports synthétiques ou données brutes. La création de scénarios de corrélation permet de plus d'extraire des infos pertinentes (mais non liées de manière évidente) d'une masse importante de logs.
