AkabSensor est la famille d'appareils qui constituent la base de l'architecture Akab et sont chargés de gérer les données collectées dans le réseau et / ou envoyés par les systèmes.

Le rôle de ces dispositifs est essentiel car ils fournissent des données sur les algorithmes de détection des anomalies et de corrélation des événements qui seront ensuite utilisés par les appareils du niveau supérieur.

La famille de dispositifs AkabSensor comprend des appareils spécialisés pour des fonctions particulières, répartis entre gestion de la sécurité et de gestion de réseau:

• Audit de sécurité (AS-SA)
• Détection d'intrusion (AS-ID)
• Gestion de bande passante (AS-BM)
• Suivi du trafic (AS-TM)
• Log server (AS-LS).

Les appareils du groupe de Network Management (BM, TM et LS) peuvent être configurés en tant que stand-alone.

Les operations de gestion sont nombreuses et différentes selon de la fonction spécifique de AS.
En général, les opérations comunes à toute la famille d'appareils sont: récolte des données, filtrage, interprétation et fabrication des messages en format AKevent, communication avec AkabCollector.

Pour la Haute Disponibilité, touts les appareils sont équipables optionnellement de fonctions de FailOver (deux appareils jumeaux) et, seulement pour AS-BM, d'un systeme de Bypass (continuité de connexion).

Touts les appareils de l'architecture Akab sont accéssibles à travers une unique interface web.

Collecte des données

En particulier, les données qui peuvent être recueillies par AS sont:

* Netflow/Sflow
* Syslog
* SNMPTrap
* Security Alert

Toutes les données viennent sauvegardées localement en format natif, aux fins de la traçabilité et, eventuellement, pour analyse forensiques successives.

Filtrage

Pour chaque combination de données (Netflow, Syslog, SNMPTrap et Security Alert) et de ordinateur hôte ou d'application qui produisent telles données, il est possible de configurer des critères de filtrage opportuns et personnalisés.

Interprétation et production d'événements AKevent

Certaines donées recueillies assument en particulier une signification concernant la sécurité (Denial Of Service, scan, tentatifs d'intrusion, ...): une interprétation dans ce sens produira des messages Akevent.

Communication avec AkabCollector

Touts les messages Akevent produits et/ou les informations considérables viennent transmisent au niveau supérieur d'appareils (AkabCollector), avec la gestion des niveaux de priorité opportuns en mode cyphré, selon un protocol de communication exclusif.

Type d'équipement AkabSensor

La famille d'appareils AkabSensor comprend différents genres d'appareils, spécialisés pour des fonctions spécifiques, plus ou moin complexes, ayant capacité différentes de gestion de la quantité de données.

* AS-SA (Security Audit) gère, relativement aux événements de sécurité, les données Netflow, syslog et SNMPTrap, en produisant des messages Akevent qu'il canalise vers AkabCollector.
Ce senseur comprend toutes les activités de Vulnerability Assessment, qui ont pour but la vérification de l'existence de vulnérabilités de configurations et de versions des logiciels et applications des systèmes de réseau.
* AS-ID (Intrusion Detection) gère les Security Alerts en produisant des messages AKevent qu'il canalise en suite vers AkabCollector.
* AS-BM (Bandwith Management) réalise la répartition du débit de transmission, selon différents citères.
* AS-TM (Traffic Monitoring) analyse le traffic réseau, jusqu'au niveau des applications, et celui relevé par les appareils de tiers à travers Netflow (connexions et protocoles), et fournit des données statistiques à AkabCollector.
* AS-LS (Log Server) recueilli les messages de log envoyés par plusieurs ordinateurs hôtes et applications et en permet la visualisation et l'extraction selon différents critères.