Concentration de journaux d'état (logs)


CATNET: concentration des journaux et logs

Les événements des équipements réseau sont souvent délaissés et inexploités. Ils sont, à juste titre, considérés comme très bavards avec un fort taux de faux-positifs. Dans le contexte de la Sécurité, nous considérons que chaque information doit être traitée, triée, classifiée. Même si 1 seule information sur 1000 n'est utile, ne pas la considérer c'est prendre le risque ne pas détecter une situation grave et intentionnellement furtive.

C'est pourquoi CatNet concentre tous les événements de tous les équipements du réseau au travers du protocole Syslog, largement répandu. Ces événements sont mis en forme, caractérisés, filtrés, combinés, etc.; permettant ainsi une vision globale du réseau depuis l'interface web CatNet.


CatNet permet de concentrer les événements provenant des différentes classes d'équipements:

  • Serveurs (Linux, Unix, Windows, etc.)
  • Postes de travail (Linux, Windows, MacOS, etc.)
  • Périphériques réseau (imprimantes, faxs, scanners, etc.)
  • Equipements réseau actifs (routeurs, firewalls, switchs, modulateurs, bornes wifi, etc.)




Les incidents sont identifiés, parmi la large gamme des techniques actuelles:

  • attaques applicatives (injections, fuzzing, débordements, saturations, dénis de service, etc.)
  • attaques réseau (scans, flooding, brute forces, spoofing, etc.)
  • attaques des données (accès non autorisés, compromissions, altérations, etc.)