Hello,

Juste une petite Remarque : le pricing de la version 10.5 a été revu et les 
differences sont notables.

licensing perpetual ou à base de souscription avec plusieurs paliers selon le 
volume de log.

Le Hardware et la maintenance associée est  moins cher  de  50%.  Le storage en 
DAC est 50% moins cher. Pas de licence HA 

Selon les "use case" , on atteint les 75% de delta ( en virtuel pour ~2k EPS ) 
et un delta minimum  de 25% en hardware par rapport à la 10.4 

Cela dit RSA SA n'est effectivement pas un SIEM "generaliste" mais est plus 
orienté Secu plus abouti en terme d'indexation et plus simple à déployer en 
environnement non simpliste. Par exemple avec 2 FW de constructeurs différents, 
les métadonnées pour gérer le même objet ( ie : un user par ex ) sont 
généralement différents avec Splunk ou il y a peu d'indexation par défaut  vs 
RSA ou on en a environ 170 de base .

Ça sera un peu plus laborieux avec Splunk ...

Cdt

-----Original Message-----
From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of 
Erik LE VACON
Sent: mercredi 22 juillet 2015 10:03
To: Fabien GARZIANO
Cc: Joe Yabuki; frnog-t...@frnog.org; admin; Nicolas Girardi; Duchet Rémy
Subject: Re: [FRnOG] [TECH] Corrélation de log/Event Log MGMT

Bonjour,

En fonction du type de logs que tu traites, et si tu fais (aussi?) du SIEM 
orienté Sécu, je ne peux que recommander RSA SA (10.5), qui a fait un sacré 
bout de chemin depuis EnVision qui était incapable dans la plupart des cas, de 
sortir un rapport sans planter "en mode autiste" en plein milieu d'un "SELECT 
... FROM..." un peu chargé.
Cette nouvelle mouture est vraiment bien plus performante et flexible. A noter 
que la 10.4 présentait quelques soucis corrigés depuis. 

Point d'attention permanent néanmoins: vraiment valider les masters ISO fournis 
par le constructeur en POC, car parfois de la grouille dans la gestion des 
commits des releases côté support DEV, avec quelques surprises en déploiement.

Globalement, c'est certes cher, mais les performances/la flexibilité ont un 
prix. 
On en déploie chez de gros clients (30-50K EPS+), et ca "juste marche" une fois 
les parsers bien adaptés/customisés pour les logs au format un peu exotiques. 
Le moteur de reporting est quant à lui vraiment abouti, y'a quasiment plus 
"qu'à faire du copier-coller pour les Powerpoint" :).
@+

----- Mail original -----
De: "Fabien GARZIANO" <fabien.garzi...@groupe-ocealis.com>
À: "admin" <ad...@obfuscate.fr>, "Nicolas Girardi" 
<nicolas.gira...@virginmobile.fr>, "Duchet Rémy" <r...@duchet.eu>
Cc: "Joe Yabuki" <joeyabuki...@gmail.com>, frnog-t...@frnog.org
Envoyé: Mercredi 22 Juillet 2015 09:42:52
Objet: RE: [FRnOG] [TECH] Corrélation de log/Event Log MGMT

Ca fait un bout de temps que je me dit que nous devrions basculer sur ELK, 
actuellement nous sommes sur du centreon-syslog (pour la centralisation sur 
notre plateforme de supervision) mais cela n'offre pas du tout la souplesse qui 
je crois existe dans un ELK. 
Nicolas : ELK en gratuit ? 


-----Message d'origine-----
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
admin Envoyé : mercredi 22 juillet 2015 07:23 À : Nicolas Girardi; Duchet Rémy 
Cc : Joe Yabuki; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Corrélation de 
log/Event Log MGMT

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

+1 pour ELK

Le 21 juillet 2015 19:56:46 GMT+02:00, Nicolas Girardi 
<nicolas.gira...@virginmobile.fr> a écrit :
>Bonjour,
>
>Un stack ELK :
>ElasticSearch
>Logstash (avec redis en shipper)
>Kibana
>
>Cdlt.
>
>Nicolas Girardi | Responsable Infrastructure | Société OmeA Telecom 
>Ltd. 12, Rue Belgrand, 92300 Levallois<x-apple-data-detectors://0> | 
>Fixe :+33141381048<tel:+33141381048> | Mobile 
>:+33632803852<tel:+33632803852>
>
>Le 21 juil. 2015 à 19:16, Duchet Rémy
><r...@duchet.eu<mailto:r...@duchet.eu>> a écrit :
>
>Bonjour,
>
>Nous utilisons Graylog comme base, pour tout nos devices.
>
>Rémy
>
>Le 21 juil. 2015 à 18:36, Joe Yabuki
><joeyabuki...@gmail.com<mailto:joeyabuki...@gmail.com>> a écrit :
>
>Bonjour à tous,
>
>Nous souhaitons mettre en place une solution de corrélation de logs.
>
>Il serait grandement intéressant d'avoir un retour d'expérience sur ce 
>que vous utilisez chez vous ?
>
>Merci,
>Joe
>
>---------------------------
>Liste de diffusion du FRnOG
>http://www.frnog.org/
>
>
>---------------------------
>Liste de diffusion du FRnOG
>http://www.frnog.org/
>
>---------------------------
>Liste de diffusion du FRnOG
>http://www.frnog.org/

- --
Librement,

Obf
-----BEGIN PGP SIGNATURE-----
Version: APG v1.1.1
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=+gw+
-----END PGP SIGNATURE-----


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

-----
Aucun virus trouvé dans ce message.
Analyse effectuée par AVG - www.avg.fr
Version: 2015.0.6081 / Base de données virale: 4392/10271 - Date: 20/07/2015

-----
Aucun virus trouvé dans ce message.
Analyse effectuée par AVG - www.avg.fr
Version: 2015.0.6081 / Base de données virale: 4392/10271 - Date: 20/07/2015
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à