Sur les fw checkpoint vous avez la possibilité d afficher des compteurs et/ou les réinitialiser pour savoir si chaque règle est « hité ».
Fabrice > Le 7 mai 2018 à 19:15, Nicolas Girardi <n.gira...@gmail.com> a écrit : > > Bonjour, > > Par le passé j’ai utilisé algosec (payant) pour répondre à ce besoin. > Overlap de règles. > Règle trop permissives > Unused rules. > Etc .. > > Nicolas Girardi. > >> Le 7 mai 2018 à 17:22, Joël DEREFINKO <joel.derefi...@118218.fr> a écrit : >> >> Je m'auto réponds: désolé pour le bruit, en fait cela ne correspond pas à la >> demande de l'OP. >> Mais pour les curieux, jetez-y un œil malgré tout :) >> >> Joël >> >> -----Message d'origine----- >> De : Joël DEREFINKO >> Envoyé : lundi 7 mai 2018 17:21 >> À : 'Thomas Pedoussaut'; Emile TOURON >> Cc : frnog-t...@frnog.org >> Objet : RE: [FRnOG] [TECH] Inventaire flux réseau >> >> En solution payante, on a eu une démo de DarkTrace, assez bluffant comme >> outil. >> Au dela du wow-effect de l'interface (ca plait au DSI qui n'y connait pas >> grand-chose car ça lui chatouille les yeux), l'outil à l'air vraiment >> puissant. >> >> Ca passe par une phase d'apprentissage du traffic, puis ca lève des alertes >> lorsque des évènements réseaux inhabituels sont detectés (tiens, cette >> machine essaye de se connecter à tous les hosts du réseau en SMB ? Tiens, >> cette machine tente une connexion FTP externe alors qu'elle ne le fait >> jamais, etc...). >> Les critères d'alerte sont évidemment customisables, les seuils >> paramètrables, etc... >> Après le pricing est en rapport : clairement inadapté pour une petite >> structure, mais sur un réseau plus vaste/actif, ça peut avoir plus de sens. >> >> https://www.darktrace.fr/ >> >> Joël >> >> >> -----Message d'origine----- >> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de >> Thomas Pedoussaut >> Envoyé : lundi 7 mai 2018 10:26 >> À : Emile TOURON >> Cc : frnog-t...@frnog.org >> Objet : Re: [FRnOG] [TECH] Inventaire flux réseau >> >>> On 2018-05-07 09:55, Emile TOURON wrote: >>> Connaissez-vous un outil pour faire l'inventaire exhaustif des flux >>> réseau afin de connaitre tous les flux qui passe dans un >>> routeur/switch (conversations ip/port, etc.) ? Ceci pour appliquer des >>> règles de filtrage strictes. >>> Les outils d'analyse statistique de Wireshark font le job mais un port >>> mirroring n'est pas envisageable à grande échelle. >>> Mes équipements réseau causent en IPFIX et sFlow, mais les collecteurs >>> que j'ai trouvé proposent des dashboard plus de monitoring temps réel >>> et de statistiques globales plutôt que d'inventaire exhaustif des >>> flux. >> >> Tu peux tout d'abord exporter ton sFlow vers une base ELK >> https://www.elastic.co/guide/en/logstash/5.2/plugins-codecs-sflow.html >> >> Et ensuite sortir des tableaux du trafic de façon assez intuitive. >> >> Attention tout de même, si tu as aucun filtre actuellement, tu auras >> surement énormément de traffic >> parasite (que tu voudrait filtrer) mélangé à du trafic légitime mais de >> très faible >> intensité (ntp par exemple). >> >> Donc bon courage. >> >> -- >> Thomas >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
