sycope Security Modul

Sycope est une solution de surveillance et de sécurité du réseau qui utilise l'analyse des flux en temps réel et qui est enrichie par le contexte commercial pour aider les entreprises à évaluer les performances et à protéger leur infrastructure informatique. Elle enregistre, traite et analyse tous les paramètres contenus dans les flux, enrichis par SNMP, la géolocalisation et les flux de sécurité. Sycope est conçu pour détecter les événements et les problèmes de réseau, mesurer les retards et identifier les menaces de sécurité. La fonction de sécurité de Sycope a été développée sur la base de la méthodologie MITRE ATT&CK. Des règles et des mécanismes de détection des incidents de sécurité permettent d'identifier les attaques et les activités indésirables sur le réseau.

Avantages clés

Surveillance plus intelligente du réseau

Garantie d'une performance optimale du réseau et des applications.

Analyse des données avec contexte

Du général au détail médico-légal

Éviter les temps d'arrêt tant qu'il est encore temps

Réduire les risques et éviter les coûts

Réduction du temps de réponse

Travailler confortablement aux heures de pointe, grâce à une grande efficacité

Flexibilité et adaptabilité

Barre de recherche contextuelle, tableaux de bord et widgets personnalisés

Cohérence du système

3 modules, une interface utilisateur graphique informative

Caractéristiques essentielles

Analyse des flux en temps réel

• NetFlow v5/9, IPFIX, NSEL, sFlow, prise en charge de l'échantillonnage.
• Enhanced by SNMP, géolocalisation, flux de sécurité
• Déduplication des données
• Langage propriétaire NQL
• Support pour IPv4, IPv6
• Analyse des champs non standard, y compris NAT, MPLS

Big Data engagé pour l'observabilité du réseau

Analyse des données de nombreux domaines :

AS Name by IP, IP Address Name, AS Names, Application Name, Protocol Name, Server IP, Name, Client IP Name, AS Name, ToS Names, Interface Name, Exporter IP (Name), Exporter Location, Exporter Description, ToS Name, Direction, Application ID, Server TCP Flags, Client TCP Flags, Bytes, Packets.

Analyse des champs de flux non standard :

PostNatSrcIp, postNatSrcPort, applicationId, firewallEvent, fwExtEvent, minPacketLength, maxPacketLength, flow- Label, clientMaxTtl, srcVlan, dstVlan, ipv6OptionHeaders, mplsLabel1-5, retransmittedInPackets, retransmittedOut- Paquets, retransmittedInBytes, retransmittedOutBytes, clientNetworkTime, serverNetworkTime, initialServerResponseTime.

Choisir parmi plusieurs métriques calculées (calculées sur la base des champs de flux) :

Somme des flux/s ; Somme Out Bits/s, Somme In Bits/s, Somme Bits/s, Somme Server Bits/pts, Somme Client Bits/pts, Somme Octets/ Paquet, Somme Paquets/Flux, Somme Paquets/Seconde, Somme Client Bits/flux, Somme Server Bits/flux, Somme Octets, Somme Server Paquets/Flux, Somme Client Ips unique, Somme Avg Paquets/s, Somme Client Bits/s, Somme Server Bits/s, Somme Server Paquets/s, Somme Paquets Client/s, Somme Paquets, Ports Serveur Unique, Ips Serveur Unique, ASN Unique, Avg Out Paquets/s, Avg In Paquets/s, Avg Paquets/s, Paquets/s, Avg Flows/s, % Out Retransmitted Paquets, Avg Server Paquets/Flux, Avg Server Bits/Flux, % In Retransmitted Packets, Avg Client Packets/flow, Avg Client Bits/flow, Avg Server Bits/pkt, Avg Client Bits/pkt, Bits/s, Bits.

Sélectionner une plage de dates/heures à partir de valeurs par défaut :

Choisissez entre des plages horaires prédéfinies ou définies par l'utilisateur.

Accès rapide aux informations importantes

Le système a été doté de diagrammes, de tableaux et de cartes interactifs contenant des données, des statistiques et des indicateurs critiques qui permettent d'analyser les schémas de comportement du réseau et d'aider à traiter les problèmes détectés.

Filtrage complet :

• Conservez le contexte temporel et les filtres entre les vues.
• Déplacez facilement les filtres entre les vues.
• Enregistrez les filtres de recherche complexes et le contexte temporel (signets).

Attribution automatique de valeurs dans le système :

• Ensembles de noms, de termes et de valeurs configurables par l'utilisateur.
• Out-of-the-box : noms d'applications, pays, AS, techniques MITRE.

Accès facile de haut en bas :

Des mécanismes d'exploration permettent d'afficher les données d'un port, d'une interface ou d'une adresse IP spécifique.

Accès à des services externes :

• Le système permet d'accéder à des services externes, tels que VirusTotal, directement à partir de la vue à analyser (en cliquant avec le bouton droit de la souris) et de poursuivre l'analyse des données.
• Serveur de flux : identification dynamique des menaces globales basée sur l'intégration avec la plateforme Sycope Cyber Threat Intelligence (CTI).

Principales caractéristiques des modules

VISIBILITY

Analyse des données L3 et L4, Network Data Mining, listes de connexions par adresse IP, protocole, port, pays, ASN ou QoS. Analyse du trafic réseau au niveau d'un seul port TCP/UDP Port UDP, détection d'anomalies, tableaux de bord spécifiques.

PERFORMANCE

Analyse L7, sonde spéciale Sycope (y compris les mesures des champs : % Client Retransmitted Packets, % Server Retransmitted Packets). Mesure du temps de réponse, mesure des performances des applications dans la vie réelle, détection des retransmissions, combinaison d'applications réseau et de métriques, sources de données supplémentaires (DPI pour L7), tableaux de bord de performances spécifiques.

SÉCURITÉ

Plus de 45 règles de détection de sécurité, personnalisation des règles de détection. Mitigation active avec système NAC, cartographie du cadre MITRE ATT&CK, Sycope CTI (surveille activement une série de sources, analyse et génère une liste unifiée d'indicateurs de compromission (IoC) actuels, possibilité de créer des règles, tableaux de bord de sécurité spécifiques, y compris SOC.