En solution payante, on a eu une démo de DarkTrace, assez bluffant comme outil. Au dela du wow-effect de l'interface (ca plait au DSI qui n'y connait pas grand-chose car ça lui chatouille les yeux), l'outil à l'air vraiment puissant.
Ca passe par une phase d'apprentissage du traffic, puis ca lève des alertes lorsque des évènements réseaux inhabituels sont detectés (tiens, cette machine essaye de se connecter à tous les hosts du réseau en SMB ? Tiens, cette machine tente une connexion FTP externe alors qu'elle ne le fait jamais, etc...). Les critères d'alerte sont évidemment customisables, les seuils paramètrables, etc... Après le pricing est en rapport : clairement inadapté pour une petite structure, mais sur un réseau plus vaste/actif, ça peut avoir plus de sens. https://www.darktrace.fr/ Joël -----Message d'origine----- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Thomas Pedoussaut Envoyé : lundi 7 mai 2018 10:26 À : Emile TOURON Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Inventaire flux réseau On 2018-05-07 09:55, Emile TOURON wrote: > Connaissez-vous un outil pour faire l'inventaire exhaustif des flux > réseau afin de connaitre tous les flux qui passe dans un > routeur/switch (conversations ip/port, etc.) ? Ceci pour appliquer des > règles de filtrage strictes. > Les outils d'analyse statistique de Wireshark font le job mais un port > mirroring n'est pas envisageable à grande échelle. > Mes équipements réseau causent en IPFIX et sFlow, mais les collecteurs > que j'ai trouvé proposent des dashboard plus de monitoring temps réel > et de statistiques globales plutôt que d'inventaire exhaustif des > flux. Tu peux tout d'abord exporter ton sFlow vers une base ELK https://www.elastic.co/guide/en/logstash/5.2/plugins-codecs-sflow.html Et ensuite sortir des tableaux du trafic de façon assez intuitive. Attention tout de même, si tu as aucun filtre actuellement, tu auras surement énormément de traffic parasite (que tu voudrait filtrer) mélangé à du trafic légitime mais de très faible intensité (ntp par exemple). Donc bon courage. -- Thomas --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/