Hello, En terme de Correlation/Monitoring je regarde AccelOps en ce moment qui semble pas mal foutu (le POC va commencer cette semaine). Sinon pour ce qui est d'ELK/Splunk/Hadoop tu as une startup qui développe une brique de corrélation basée sur du machine learning: Prelert. Je n'ai pas tesé car pas l'infra sous la main mais si ELK/Splunk sont déjà en place ca peut valoir le coup/coût de tester. L'idée de base en ce qui me concerne et de ne pas avoir à deployer des boxes proprio et de profiter des fonction basique de virtualisation pour le scaling (compute et évidemment storage).
http://www.accelops.com/ http://info.prelert.com/ David Le lun. 27 juil. 2015 à 11:44, Bouzemarene, Farid (ATS) < farid.bouzemar...@avnet.com> a écrit : > Hello, > > Juste une petite Remarque : le pricing de la version 10.5 a été revu et > les differences sont notables. > > licensing perpetual ou à base de souscription avec plusieurs paliers selon > le volume de log. > > Le Hardware et la maintenance associée est moins cher de 50%. Le > storage en DAC est 50% moins cher. Pas de licence HA > > Selon les "use case" , on atteint les 75% de delta ( en virtuel pour ~2k > EPS ) et un delta minimum de 25% en hardware par rapport à la 10.4 > > Cela dit RSA SA n'est effectivement pas un SIEM "generaliste" mais est > plus orienté Secu plus abouti en terme d'indexation et plus simple à > déployer en environnement non simpliste. Par exemple avec 2 FW de > constructeurs différents, les métadonnées pour gérer le même objet ( ie : > un user par ex ) sont généralement différents avec Splunk ou il y a peu > d'indexation par défaut vs RSA ou on en a environ 170 de base . > > Ça sera un peu plus laborieux avec Splunk ... > > Cdt > > -----Original Message----- > From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf > Of Erik LE VACON > Sent: mercredi 22 juillet 2015 10:03 > To: Fabien GARZIANO > Cc: Joe Yabuki; frnog-t...@frnog.org; admin; Nicolas Girardi; Duchet Rémy > Subject: Re: [FRnOG] [TECH] Corrélation de log/Event Log MGMT > > Bonjour, > > En fonction du type de logs que tu traites, et si tu fais (aussi?) du SIEM > orienté Sécu, je ne peux que recommander RSA SA (10.5), qui a fait un sacré > bout de chemin depuis EnVision qui était incapable dans la plupart des cas, > de sortir un rapport sans planter "en mode autiste" en plein milieu d'un > "SELECT ... FROM..." un peu chargé. > Cette nouvelle mouture est vraiment bien plus performante et flexible. A > noter que la 10.4 présentait quelques soucis corrigés depuis. > > Point d'attention permanent néanmoins: vraiment valider les masters ISO > fournis par le constructeur en POC, car parfois de la grouille dans la > gestion des commits des releases côté support DEV, avec quelques surprises > en déploiement. > > Globalement, c'est certes cher, mais les performances/la flexibilité ont > un prix. > On en déploie chez de gros clients (30-50K EPS+), et ca "juste marche" une > fois les parsers bien adaptés/customisés pour les logs au format un peu > exotiques. Le moteur de reporting est quant à lui vraiment abouti, y'a > quasiment plus "qu'à faire du copier-coller pour les Powerpoint" :). > @+ > > ----- Mail original ----- > De: "Fabien GARZIANO" <fabien.garzi...@groupe-ocealis.com> > À: "admin" <ad...@obfuscate.fr>, "Nicolas Girardi" < > nicolas.gira...@virginmobile.fr>, "Duchet Rémy" <r...@duchet.eu> > Cc: "Joe Yabuki" <joeyabuki...@gmail.com>, frnog-t...@frnog.org > Envoyé: Mercredi 22 Juillet 2015 09:42:52 > Objet: RE: [FRnOG] [TECH] Corrélation de log/Event Log MGMT > > Ca fait un bout de temps que je me dit que nous devrions basculer sur ELK, > actuellement nous sommes sur du centreon-syslog (pour la centralisation sur > notre plateforme de supervision) mais cela n'offre pas du tout la souplesse > qui je crois existe dans un ELK. > Nicolas : ELK en gratuit ? > > > -----Message d'origine----- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part > de admin Envoyé : mercredi 22 juillet 2015 07:23 À : Nicolas Girardi; > Duchet Rémy Cc : Joe Yabuki; frnog-t...@frnog.org Objet : Re: [FRnOG] > [TECH] Corrélation de log/Event Log MGMT > > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA512 > > +1 pour ELK > > Le 21 juillet 2015 19:56:46 GMT+02:00, Nicolas Girardi < > nicolas.gira...@virginmobile.fr> a écrit : > >Bonjour, > > > >Un stack ELK : > >ElasticSearch > >Logstash (avec redis en shipper) > >Kibana > > > >Cdlt. > > > >Nicolas Girardi | Responsable Infrastructure | Société OmeA Telecom > >Ltd. 12, Rue Belgrand, 92300 Levallois<x-apple-data-detectors://0> | > >Fixe :+33141381048<tel:+33141381048> | Mobile > >:+33632803852<tel:+33632803852> > > > >Le 21 juil. 2015 à 19:16, Duchet Rémy > ><r...@duchet.eu<mailto:r...@duchet.eu>> a écrit : > > > >Bonjour, > > > >Nous utilisons Graylog comme base, pour tout nos devices. > > > >Rémy > > > >Le 21 juil. 2015 à 18:36, Joe Yabuki > ><joeyabuki...@gmail.com<mailto:joeyabuki...@gmail.com>> a écrit : > > > >Bonjour à tous, > > > >Nous souhaitons mettre en place une solution de corrélation de logs. > > > >Il serait grandement intéressant d'avoir un retour d'expérience sur ce > >que vous utilisez chez vous ? > > > >Merci, > >Joe > > > >--------------------------- > >Liste de diffusion du FRnOG > >http://www.frnog.org/ > > > > > >--------------------------- > >Liste de diffusion du FRnOG > >http://www.frnog.org/ > > > >--------------------------- > >Liste de diffusion du FRnOG > >http://www.frnog.org/ > > - -- > Librement, > > Obf > -----BEGIN PGP SIGNATURE----- > Version: APG v1.1.1 > > iQI4BAEBCgAiBQJVryiyGxxhZG1pbiA8YWRtaW5Ab2JmdXNjYXRlLmZyPgAKCRDN > w488H1IOXvYkEAC635WIbA1wTXYxo3o49E1P5oftD7wyYUrDPgyDAp/tQjFiHycl > MBU1CyvOEcsiGzirRwpGzociIlhGtpWDUFhoRwjUXi55cbYDd1qAsTORMCU3e6pi > sR0QfAZGMughjfs6WXdqR5cQ/752FvPAmisnJhWyf3ef1cw+dvi9Hx4suK2OqsUs > 1pAiqhic9/obidmkxZzbppki6jhxJ5UE5zZDWW1nJaJ1OGccC6g3sUJmpcucfNoN > 6YTc2eLcSWADcyzu/Ylas16d9O/djvwAEEE4DJTOtQrFSJDmx1rukXmoPw8TYSjB > 1YqobOvRN8kOWgNfFTkJ9ah9iVdaLtrDezsJurDqelHEXgc1vNJSsMIO/KLItqO1 > 7Dag4laMuViUunSG0QIuGIsZJC5cYorRIm1sAuOvIluXTVLbR8shhKIWN/4cfUvf > jwUQatQDcgcQxrwzhp8WpPAySPH84NTjbPAjiK77i0iEPorAGG9HPAuQeMIOq3uh > QfaeuibD+qwprd1xNlhqRuSiEROBzDlY3dj2ZThS3uPO4CvxX0AtY0CJZNLrriAs > w3AjPGyJD8bMfsZV1wyhT3lw50t5RAVw0I1aZUJapcP2LGI4GinDpW37uo7Gusdb > 4sqg86eO2Zk+pvLdai0IJ8Svjzm5vC5IM3TZ1yaVNhZ3bVoGPRsmJy9TSA== > =+gw+ > -----END PGP SIGNATURE----- > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > ----- > Aucun virus trouvé dans ce message. > Analyse effectuée par AVG - www.avg.fr > Version: 2015.0.6081 / Base de données virale: 4392/10271 - Date: > 20/07/2015 > > ----- > Aucun virus trouvé dans ce message. > Analyse effectuée par AVG - www.avg.fr > Version: 2015.0.6081 / Base de données virale: 4392/10271 - Date: > 20/07/2015 > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/