Bonjour, Par le passé j’ai utilisé algosec (payant) pour répondre à ce besoin. Overlap de règles. Règle trop permissives Unused rules. Etc ..
Nicolas Girardi. > Le 7 mai 2018 à 17:22, Joël DEREFINKO <joel.derefi...@118218.fr> a écrit : > > Je m'auto réponds: désolé pour le bruit, en fait cela ne correspond pas à la > demande de l'OP. > Mais pour les curieux, jetez-y un œil malgré tout :) > > Joël > > -----Message d'origine----- > De : Joël DEREFINKO > Envoyé : lundi 7 mai 2018 17:21 > À : 'Thomas Pedoussaut'; Emile TOURON > Cc : frnog-t...@frnog.org > Objet : RE: [FRnOG] [TECH] Inventaire flux réseau > > En solution payante, on a eu une démo de DarkTrace, assez bluffant comme > outil. > Au dela du wow-effect de l'interface (ca plait au DSI qui n'y connait pas > grand-chose car ça lui chatouille les yeux), l'outil à l'air vraiment > puissant. > > Ca passe par une phase d'apprentissage du traffic, puis ca lève des alertes > lorsque des évènements réseaux inhabituels sont detectés (tiens, cette > machine essaye de se connecter à tous les hosts du réseau en SMB ? Tiens, > cette machine tente une connexion FTP externe alors qu'elle ne le fait > jamais, etc...). > Les critères d'alerte sont évidemment customisables, les seuils > paramètrables, etc... > Après le pricing est en rapport : clairement inadapté pour une petite > structure, mais sur un réseau plus vaste/actif, ça peut avoir plus de sens. > > https://www.darktrace.fr/ > > Joël > > > -----Message d'origine----- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de > Thomas Pedoussaut > Envoyé : lundi 7 mai 2018 10:26 > À : Emile TOURON > Cc : frnog-t...@frnog.org > Objet : Re: [FRnOG] [TECH] Inventaire flux réseau > >> On 2018-05-07 09:55, Emile TOURON wrote: >> Connaissez-vous un outil pour faire l'inventaire exhaustif des flux >> réseau afin de connaitre tous les flux qui passe dans un >> routeur/switch (conversations ip/port, etc.) ? Ceci pour appliquer des >> règles de filtrage strictes. >> Les outils d'analyse statistique de Wireshark font le job mais un port >> mirroring n'est pas envisageable à grande échelle. >> Mes équipements réseau causent en IPFIX et sFlow, mais les collecteurs >> que j'ai trouvé proposent des dashboard plus de monitoring temps réel >> et de statistiques globales plutôt que d'inventaire exhaustif des >> flux. > > Tu peux tout d'abord exporter ton sFlow vers une base ELK > https://www.elastic.co/guide/en/logstash/5.2/plugins-codecs-sflow.html > > Et ensuite sortir des tableaux du trafic de façon assez intuitive. > > Attention tout de même, si tu as aucun filtre actuellement, tu auras > surement énormément de traffic > parasite (que tu voudrait filtrer) mélangé à du trafic légitime mais de > très faible > intensité (ntp par exemple). > > Donc bon courage. > > -- > Thomas > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
