Diagnostic et sécurité réseau informatique blog | NetWalker

Traquer les intrusions sur le réseau avec Firepower et Savvius Vigil

Traquer les intrusions sur le réseau avec Firepower et Savvius Vigil

Traquer les intrusions sur le réseau informatique

Les apports de l’appliance Vigil aux entreprises

 

C’est hier jeudi 29 avril, lors du Live Partner Webinar que Douglas Hurd de Cisco a évoqué le défi que représente pour les ingénieurs réseau le diagnostic des intrusions sur le réseau informatique.

 

Diagnostic des failles du réseau informatique

 

Pour mener à bien l’analyse du risque de intrusions potentielles, il est nécessaire de pouvoir accéder aux trames échangées sur le réseau avant même que l’incident ne soit détecté.

 

Analyser les failles du réseau informatique

 

C’est dans ce cadre qu’il est revenu aux cotés de Mandana Javaheri CTO de Savvius sur les bénéfices qu’apporte les technologies de sélection et d’archivage automatique de la sonde Savvius Vigil aux utilisateurs des firewall Cisco Firepower*.

Après avoir expliqué pourquoi un IPS n’est pas l’endroit idéal pour stocker des données, Douglas a détaillé les bénéfices pour les ingénieurs réseau d’utiliser un système d’archivage automatique intelligent des paquets réseau en rapport avec les atteintes à la sécurité détectées par le Firepower.

  • La sélection des trames IP significatives est automatique et l’archivage des données est permanent,
  • Les données restent disponibles plusieurs mois pour un audit détaillé (logs Firepower, paquets échangés sur le réseau),
  • Les ingénieurs peuvent visualiser le trafic réseau échangé lorsque le firewall a détecté une intrusion : Vigil archive les paquets concernés sur un intervalle de 10 minutes : 5 minutes avant l’alerte et 5 après.
  • Les 5 minutes avant permettent de contrôler les échanges réseau ayant conduit à l’alerte fournissant de précieux renseignement sur le mode opératoire et les cibles de l’attaque,
  • Les 5 minutes après permettent d’analyser le comportement des stations impactées.

 

Pour bien comprendre l’intérêt de la technologie d’archivage intelligent et de sélection automatisé de Vigil, voici comment fonctionne de la sonde Vigil étape par étape le fonctionnement de la sonde :

Vigil archive temporairement l’ensemble du trafic échangé sur le réseau. Il reçoit également des notifications du FireWall.

Lorsqu’une notification d’intrusion arrive de votre firewall, voici ce qu’il se passe :

 

Première étape
le Firepower détecte une intrusion et informe Vigil

Fonctionnement de Savvius Virgil pour le Diagnostic des failles du réseau informatique

 

Seconde étape
Vigil sélectionne pour archivage les paquets échangés depuis 5 minutes entre les 2 stations concernées

Savvius Virgil décuple les capacités d'audit des ingénieurs réseau

 

Troisième étape
Sélection des paquets échangés par les stations IP N°2 et IPN°5 avec d’autres stations

La sélection des paquets vers/depuis les stations potentiellement affectées par la faille du réseau informatique

 

Dernière étape
Vigil archive ces paquets en ignorant le reste du traffic

L'archivage des paquets permet aux ingénieurs de réaliser un audit complet des failles du réseau informatique

sélection et archivage des paquets liés à l’intrusion sur le réseau

 

Les paquets sont archivés et classés par évènement. Cela représente une infime portion du trafic global échangé sur le réseau et permet aux ingénieurs de conserver pendant des mois ces informations détaillées sans devoir disposer d’infrastructures de stockage gargantuesques dont la plupart des entreprises ne disposent pas.

Armés du journal des alertes et du trafic réseau associé à ces évènements, les responsables de la sécurité du réseau informatique disposent de l’outil idéal pour comprendre et réduire l’impact de l’intrusion pour l’entreprise et en mesurer son périmètre.

Savvius Vigil inclut une licence du logiciel d’analyse réseau Omnipeek plébiscité par les ingénieurs réseau & sécurité.

 

 

* Savvius Vigil fonctionne également en conjonction avec les matériels : Arcsight ESM v6.0, Cyberoam UTM v10.6, Lancope Stealthwatch v6.6, Palo Alto Pan OS v7.0, IBM QRadar v7.2.5, Snort v2.9.7, Suricata v2.0.3, Cisco Sourcefire v5.3

Les marques citées sont déposées par leurs propriétaires respectifs.

 


Plus d’informations sur Savvius Vigil sur le site NetWalker

Omnipeek et les solutions de monitoring et diagnostic réseau Savvius Vigil et Savvius Insight sont distribués en France par NetWalker

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *