Les administrateurs chargés de la sécurité des réseaux sont confrontés au traitement des logs des systèmes de sécurité déployés sur leur réseau.

Ils doivent faire face aux problématiques suivantes :

Hétérogénéité des données :

Les équipements génèrent des données qui sont au format de l’éditeur ou constructeur. Il n’y a pas de format standard. Les données ne sont donc pas comparables aisément, il faut les traiter dans une opération de standardisation pour les remettre dans un format unique. Cependant il peut être nécessaire de conserver les logs bruts à des fins d’expertise ou d’analyse à posteriori.

Volume des données :

Le volume de données généré par les équipements de sécurité d’une entreprise de taille moyenne peut atteindre facilement 5 GO par jour. La recherche d’une information précise dans de tel volume est impossible sans automatisation.

Signification variable des données :

Suivant les équipements les logs n’ont pas la même importance. Leur impact dans le réseau n’est pas le même selon la provenance, la cible, le contenu de l’attaque.

Les solutions proposées par QUICKSHIFT répondent à l’ensemble des problématiques et permettent de :

• collecter

• stocker et conserver

• normaliser

• agréger

• corréler

• cartographier

• alerter en temps réel

• générer des rapports

Les quatre solutions préconisées par QUICKSHIFT, LOGLOGIC, NETREPORT, RSA et Tivoli Security Operation Manager permettent de couvrir l’ensemble des besoins des entreprises.