English version English version Plan du site Plan du site Site clientLogin
Sécurité Informatique

>Centralisation et corrélation de logs : notre offre Watchlog

Watchlog est une solution 50/50 : 50% logiciel, 50% conseil.

Notre expérience dans ce domaine nous a montré que le succès de ce genre de projets ne reposait pas sur le choix de telle ou telle solution "clés en main". Chaque entreprise possède ses propres besoins, ses applications "maison" et ses contraintes (opérateurs télécom, banques, assurances, etc).

Nous avons donc créer Watchlog afin de réussir votre projet de centralisation de logs.

La solution Xmco Partners Watchlog est composée :

  • D'une interface graphique de type GUI permettant de parcourir l'ensemble de vos logs, de créer vos filtres, de corréler les traces de vos différents systèmes et de vos applications et de générer vos alertes :
    corrélation des évènements    WatchLog

  • D'un moteur de centralisation "ouvert", composé d'une base de données relationnelle et d'un planificateur de tâches.

  • De plusieurs agents de rapatriement (dont des agents génériques pré-developpés) qui viennent récupérer sur vos serveurs en mode "GET" les logs brutes, les traitent et les insérent dans le moteur de base de données. Nos consultants sont en mesure d'intégrer très rapidement vos applications spécifiques.

> Corrélation des évenements de sécurité du SI

Quelles alertes devons-nous remonter ? Que cherchons-nous à surveiller ?

Il s'agit ici de la phase la plus importante d'un projet de centralisation des journaux. Beaucoup d'outils permettent de centraliser les logs dans une base de données, mais aucun d'eux ne fournit une aide sur la sélection des alertes à remonter et encore moins une analyse du contenu des logs.

Quelques exemples de corrélation d'événements réalisable avec Watchlog :

  • Un même utilisateur a tenté, à de multiples reprises de se connecter, aux partages "d'administration", au serveur "ressources humaines" et à plus de 10 reprises à l'ERP.

  • Un grand nombre d'erreurs de type "404" et "500" a été remonté sur le serveur Extranet depuis une même adresse IP : il peut s'agir d'une attaque web.

  • Des pages d'applications de comptabilité ont été ouvertes durant la nuit via le compte "administrateur".

  • Des emails sont-ils partis vers notre concurrent durant le mois d'août ? Avec le serveur Exchange ? Depuis une webmail externe à travers le proxy d'entreprise ?



> Contactez nos experts




watchlog  

> Agents natifs :

go: Microsoft DC et Active Directory

go: Lotus Notes, Exchange

go: Apache, IIS, Weblogic, Webshere

go: Squid, Trendmicro VirusWall

go: OpenSSHd, Microsoft FTP, CiscoWorks

go: SAP, PeopleSoft, Oracle AS

 

> Mode de rapatriement :

go: Microsoft RPC et WMI

go: Transfert de mode "GET" avec SSH, SCP

go: FTP, HTTP, SSL

go: Tunnels SSH pour les plateformes protégées par des bastions

 

> Publication :

go: Article : La corrélation de logs