GESTION DES EVENEMENTS ET DES CONTRES GESTION DES EVENEMENTS ET DES CONTRES GESTION DES EVENEMENTS ET DES CONTRES

GESTION DES EVENEMENTS ET DES CONTRES- -- -MESURES MESURES MESURES MESURES CI CI CI CISCO SCO SCO SCO
SECURITY MARS SECURITY MARS SECURITY MARS SECURITY MARS PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE

CISCO CISCO CISCO CISCO SECURITY SECURITY SECURITY SECURITY MARS (MONITORING ANALYSIS MARS (MONITORING ANALYSIS MARS (MONITORING ANALYSIS MARS (MONITORING ANALYSIS
AND RESPONSE SYSTEM) AND RESPONSE SYSTEM) AND RESPONSE SYSTEM) AND RESPONSE SYSTEM)

La famille Cisco Security MARS regroupe des
serveurs volutifs haute performance pour la
gestion, la surveillance et la protection contre les
menaces qui permettent lutilisateur dexploiter
plus efficacement ses quipements de rseau et de
scurit en associant, la surveillance traditionnelle
des vnements de scurit, lintelligence rseau, la
corrlation contextuelle, lanalyse vectorielle, la
dtection des anomalies, lidentification des hot
spots et des fonctions de protection automatises.
Grce ces fonctionnalits, les systmes Cisco
Security MARS donnent lentreprise les moyens
didentifier et de contrer avec prcision les attaques
contre son rseau tout en garantissant sa
conformit aux rglementations les plus svres.

PRINCIPAUX AVANTAGES PRINCIPAUX AVANTAGES PRINCIPAUX AVANTAGES PRINCIPAUX AVANTAGES

Surveillance centralise Surveillance centralise Surveillance centralise Surveillance centralise

Le systme de scurit Cisco MARS fournit des
informations dtailles sur linfrastructure rseau
routeurs, commutateurs, pare-feu, concentrateurs
VPN et quipements dextrmit grce un
ensemble diversifi de journaux, dalertes et de
communications NetFlow. Cisco MARS gre ainsi
les informations de scurit jusquaux adresses IP et
MAC et jusquau port de commutation concern le
plus proche pour dterminer le chemin dattaque
travers le rseau.

Rfrentiel centralis des vnements Rfrentiel centralis des vnements Rfrentiel centralis des vnements Rfrentiel centralis des vnements

Cisco MARS est un rfrentiel centralis de tous les
vnements gnrs par les quipements de
scurit pare-feu, serveurs dauthentification,
sondes de dtection et de prvention dintrusion de
rseau, serveurs proxy, etc. Il collecte les
vnements des quipements de scurit du
rseau ainsi que les logs des postes de travail et
des serveurs et effectue en temps rel une analyse
de corrlation de tous ces vnements.

Rduction des donnes Rduction des donnes Rduction des donnes Rduction des donnes

Cisco MARS rduit plusieurs millions dvnements
de scurit une poigne dincidents rseaux
effectivement signals.

Protection rapide contre les attaques Protection rapide contre les attaques Protection rapide contre les attaques Protection rapide contre les attaques

Le systme dispose la fois des performances
matrielles et des connaissances spcialises pour
reconnatre les attaques et recommander des
solutions de protection adaptes avant quelles
puissent paralyser lensemble du rseau.

Dploiement hautement volutif




Mise profit des investissements raliss pour
protger le rseau


Reporting volu



Connaissance Connaissance Connaissance Connaissance d dd du uu u rseau de bout en bout rseau de bout en bout rseau de bout en bout rseau de bout en bout

A partir des configurations compltes de tous les
types dquipements rseaux et appareils
dextrmit, Cisco MARS intgre les informations
dadresses NAT (Network Address Translation) /
PAT (Port Address Translation) et MAC pour
identifier de manire graphique les agresseurs, les
cibles et les hot spots de rseau et permettre
une action rapide. Le systme peut galement
afficher les adresses avant et aprs traduction NAT.

Evaluatio Evaluatio Evaluatio Evaluation intgre de la vulnrabilit n intgre de la vulnrabilit n intgre de la vulnrabilit n intgre de la vulnrabilit

Cisco MARS dtermine si une attaque rseau est
relle ou sil sagit dun faux positif : il rduit ainsi le
nombre dalarmes et les dlais pour prendre les
mesures ncessaires.

Frais de dploiement et dexploitation Frais de dploiement et dexploitation Frais de dploiement et dexploitation Frais de dploiement et dexploitation rduits rduits rduits rduits

Une fois paramtr et connect au rseau, le
systme dcouvre la topologie et en dresse la
carte. Il devient oprationnel en un temps minimal.

Protection automatique Protection automatique Protection automatique Protection automatique

commandes appropries sur lquipement pour
contrer la menace. De plus, il dtermine
automatiquement un grand nombre dattributs
essentiels comme les adresses MAC, le nom des
GESTION DES EVENEMENTS ET DES CONTRES GESTION DES EVENEMENTS ET DES CONTRES GESTION DES EVENEMENTS ET DES CONTRES GESTION DES EVENEMENTS ET DES CONTRES- -- -MESURES MESURES MESURES MESURES CI CI CI CISCO SCO SCO SCO
SECURITY MARS SECURITY MARS SECURITY MARS SECURITY MARS PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE

postes de travail Windows, les noms dutilisateurs
VPN et le port de commutation physique du premier
saut dune attaque. Ces informations permettent de
contrer les attaques rapidement et avec prcision
pour minimiser les dgts.

Corrlation intelligente des vnements Corrlation intelligente des vnements Corrlation intelligente des vnements Corrlation intelligente des vnements du du du du rseau rseau rseau rseau

Cisco MARS collecte des informations intelligentes
sur le rseau en reconstituant sa topologie et la
configuration des quipements partir des
informations des routeurs, des commutateurs, des
outils danalyse des vulnrabilits et des pare-feu,
et en tablissant le profil du trafic rseau. Le
systme intgr de dcouverte rseau de Cisco
MARS cre une carte topologique avec les
configurations des quipements et les politiques de
scurit en vigueur afin de modliser le flux des
paquets travers le rseau. Comme le serveur
ddi ne travaille pas en ligne et ne sollicite les
agents logiciels existants que de manire minimale,
il na aucune incidence sur les performances du
rseau ou des systmes.

Analyse SureVector Analyse SureVector Analyse SureVector Analyse SureVector

La fonction danalyse SureVector permet dlargir le
champ daction de la gestion rseau, dacclrer les
investigations et damliorer les temps de raction.
Grce elle, ladministrateur peut suivre de manire
graphique et prcise le chemin de lattaque, obtenir
des dtails sur les lments bruts qui ont prcd
lincident et identifier clairement la source du
comportement anormal et lorigine de lattaque. Il
peut ainsi effectuer, en temps rel, une analyse plus
complte et plus prcise et bloquer lattaque plus
efficacement.

Analyse Netflow Analyse Netflow Analyse Netflow Analyse Netflow

Cisco MARS collecte auprs des routeurs les
donnes NetFlow la vitesse de 300 000 flux par
seconde. Les donnes NetFlow et les journaux des
pare-feu permettent danalyser lutilisation du
rseau jusquau niveau des postes de travail pour
donner ladministrateur les moyens de dtecter
les anomalies, comme la prsence de virus ou de
vers, et de prendre les mesures ncessaires.

Corrla Corrla Corrla Corrlation contextuelle tion contextuelle tion contextuelle tion contextuelle

La corrlation contextuelle (Context Correlation)
sappuie sur lintelligence au niveau du rseau pour
regrouper en sessions les multiples vnements de
scurit et les comportements du rseau des
diffrentes zones NAT, puis identifie les incidents
rels en appliquant ces sessions des rgles de
corrlation dfinies au niveau du systme ou par
lutilisateur. Cisco MARS est livr avec un ensemble
complet de rgles prdfinies, frquemment mises
jour par Cisco, qui identifie la majorit des
scnarios dattaques combines, des attaques
inconnues (Jour Zro) et des vers. Un cadre
graphique de dfinition des rgles simplifie la
cration de rgles par lutilisateur et sadapte
nimporte quelle application. La corrlation
contextuelle rduit de manire importante le volume
des donnes brutes et simplifie le classement par
priorit des vnements pour faciliter le choix des
mesures prendre et maximiser les rsultats des
contre-mesures dployes.

Architecture haute performance et volutiv Architecture haute performance et volutiv Architecture haute performance et volutiv Architecture haute performance et volutive ee e

Cisco MARS peut capturer jusqu 10 000
vnements par seconde sur un seul botier. Si la
configuration ncessite plusieurs botiers, vous
pouvez dployer sur le site central un contrleur
Cisco Security MARS Global Controller qui ralisera
lagrgation des incidents des diffrents contrleurs
locaux. Les diffrents contrles locaux effectuent
lessentiel du travail dans une telle architecture et
chaque Local Controller dploy augmente les
performances de manire pratiquement linaire.
Performances Performances Performances Performances Stockage Stockage Stockage Stockage Compacit Compacit Compacit Compacit Alimentation Alimentation Alimentation Alimentation Rfrence Cisco Rfrence Cisco Rfrence Cisco Rfrence Cisco
(Modles (Modles (Modles (Modles
Protego) Protego) Protego) Protego)
Evnements par Evnements par Evnements par Evnements par
seconde seconde seconde seconde
NetFlows par NetFlows par NetFlows par NetFlows par
seconde seconde seconde seconde

CS CS CS CS- -- -MARS MARS MARS MARS- -- -20 20 20 20- -- -K9 K9 K9 K9 500 15 000 120 Go (non
RAID)
1 RU x 16
pouces
300 W
CS CS CS CS- -- -MARS MARS MARS MARS- -- -50 50 50 50- -- -K9 K9 K9 K9 1000 30 000 240 Go RAID 0 1 RU x 25,6
pouces
300 W
CS CS CS CS- -- -MARS MARS MARS MARS- -- -100 100 100 100
E EE E
- -- -
K9 K9 K9 K9
3000 75 000 750 Go RAID 10
Remplacement
chaud
3 RU x 25,6
pouces
Deux fois 500 W
redondants.
CS CS CS CS- -- -MARS MARS MARS MARS- -- -100 100 100 100- -- -
K9 K9 K9 K9
5000 150 000 750 Go RAID 10
Remplacement
chaud
3 RU x 25,6
pouces
Deux fois 500 W
redondants
CS CS CS CS- -- -MARS MARS MARS MARS- -- -200 200 200 200- -- -
K9 K9 K9 K9
10 000 300 000 1 To RAID 10
Remplacement
chaud
4 RU x 25,6
pouces
Deux fois 500 W
redondants
Rfrence Cisco Rfrence Cisco Rfrence Cisco Rfrence Cisco Surveillance distribue Surveillance distribue Surveillance distribue Surveillance distribue Stockage Stockage Stockage Stockage Compacit Compacit Compacit Compacit Alimentation Alimentation Alimentation Alimentation
(Modles Global (Modles Global (Modles Global (Modles Global
Controller) Controller) Controller) Controller)
Modles Modles Modles Modles
supports supports supports supports
Nombre maximal Nombre maximal Nombre maximal Nombre maximal
de connexions de connexions de connexions de connexions

CS CS CS CS- -- -MARS MARS MARS MARS- -- -GCM GCM GCM GCM- -- -
K9 K9 K9 K9
A partir de
MARS 20 ou 50
seulement
5 1 To RAID 10
Remplacement
chaud
4 RU x 25,6
pouces
Deux fois 500 W
redondants
CS CS CS CS- -- -MARS MARS MARS MARS- -- -GC GC GC GC- -- -
K9 K9 K9 K9
Tous modles Sans restriction 1 To RAID 10
Remplacement
chaud
4 RU x 25,6
pouces
Deux fois 500 W
redondants
GESTION DES EVENEMENTS ET DES CONTRES GESTION DES EVENEMENTS ET DES CONTRES GESTION DES EVENEMENTS ET DES CONTRES GESTION DES EVENEMENTS ET DES CONTRES- -- -MESURES MESURES MESURES MESURES CI CI CI CISCO SCO SCO SCO
SECURITY MARS SECURITY MARS SECURITY MARS SECURITY MARS PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE PRESENTATION SYNOPTIQUE

CARACTERIST CARACTERIST CARACTERIST CARACTERISTIQUES MATERIELLES IQUES MATERIELLES IQUES MATERIELLES IQUES MATERIELLES

Serveurs ddis montage sur rack 19 pouces ;
Agrments UL, FCC, CE et VCCI
Systme dexploitation renforc pour la scurit
avec dsactivation de la plupart des services
rseaux
Deux interfaces Ethernet 10/100/1000 ; DVD-ROM
avec support de rcupration
Stockage : RAID 0 pour Cisco Security MARS 50 ;
RAID 10 avec remplacement chaud pour Cisco
Security MARS 100, 200 et Global Controller (GC)
Alimentation 500 watt (W) avec partage de charge
redondant ; autocommutateur 120 ou 240volts

INVESTIGATION EN TEMPS REEL ET REPORTING INVESTIGATION EN TEMPS REEL ET REPORTING INVESTIGATION EN TEMPS REEL ET REPORTING INVESTIGATION EN TEMPS REEL ET REPORTING
DE CONFORMITE DE CONFORMITE DE CONFORMITE DE CONFORMITE
Les serveurs Cisco Security MARS sont quips
dun remarquable cadre danalyse qui simplifie les
tches habituelles de scurit, automatisent
lattribution des cas, les investigations, lescalade,
les notifications et lannotation des oprations
quotidiennes comme des audits spcialiss. Ils
peuvent retracer graphiquement les attaques
subies et rcuprer des informations archives afin
danalyser des vnements prcdents. Le systme
supporte pleinement les requtes spciales pour
les recherches en temps rel et lexploration de
donnes a posteriori. Les serveurs Cisco Security
MARS proposent un grand nombre de rapports
prdfinis qui rpondent aux besoins oprationnels
et contribuent aux efforts de mise en conformit
avec les rglementations du type Sarbanes-Oxley,
GLBA, HIPAA, FISMA et Blel II. Un gnrateur de
rapports convivial permet de modifier les rapports
standards plus dune centaine ou de gnrer un
nombre illimit de rapports originaux pour tablir
des plans daction et de remdiation, lactivit
pendant les incidents et celle du rseau en gnral,
ltat et les audits de scurit ainsi que des rapports
par services dans diffrents formats donnes,
tendances et graphiques. Le systme permet
galement lenvoi en nombre et par courrier
lectronique des rapports.

ADMINISTRATION ADMINISTRATION ADMINISTRATION ADMINISTRATION

Interface Web scurise (HTTPS), administration
base de rle, chemin daudit utilisateur complet
Escalade des incidents , workflow et notification
par courrier lectronique, pager, syslog et SNMP
(Simple Network Management Protocol)
Gestion hirarchique par Cisco Security MARS GC
de plusieurs serveurs Cisco Security MARS
Mises jour automatises et vrifies : support
des quipements, nouvelles rgles et
fonctionnalits
Archivage compress en continu des donnes
brutes et des incidents vers un stockage NFS
(Network File Sharing) hors ligne

REQUETES ET REPORTING REQUETES ET REPORTING REQUETES ET REPORTING REQUETES ET REPORTING

Interface graphique prenant en charge de
nombreuses requtes par dfaut et personnalises
Plus de 100 rapports dusage courant : direction,
exploitation et rglementaire
Gnration intuitive dun nombre illimit de
rapports personnaliss
Formats donnes, graphiques et tendance avec
support dexportation HTML et CSV
Systme de rapport : transmission spciale, par lot,
par modle et par courrier lectronique

DECOUVERTE DE LA TOPOLOGIE DECOUVERTE DE LA TOPOLOGIE DECOUVERTE DE LA TOPOLOGIE DECOUVERTE DE LA TOPOLOGIE

Couches 3 et 2 : routeurs, commutateurs, pare-feu
Systme de dtection des intrusions de rseau :
serveurs lames et serveurs ddis
Dcouverte manuelle et programme
Communications SSH, SNMP, Telnet et propres
aux quipements
Fichier de gnration au lieu de dcouverte























































Copyright 2005, Cisco Systems, Inc. Tous droits rservs. Cisco, Cisco IOS, Cisco Systems et le logo Cisco Systmes sont des marques dposes de Cisco Systems, Inc. ou des ses filiales aux
Etats-Unis et dans certains autres pays.
Toutes les autres marques commerciales cites dans ce document ou sur le site Web appartiennent leurs propritaires respectifs. Lutilisation des mots Partner et Partenaire ne sous-entend
aucune communaut de biens ou autre entre Cisco et lune quelconque des socits cites. (0502R) 205314.J_ETMG_LF_6.05