Akab è un'architettura SIEM+ (Security Information Event Management) modulare e scalabile composta di apparati che, opportunamente posizionati sulla rete da proteggere, controllano lo stato di sicurezza e di funzionamento dei sistemi, attraverso l'analisi del traffico di rete, dello stato, dei cambiamenti e del comportamento dei sistemi.

Akab è un SIEM+ perchè, alle funzionalità di un SIEM classico, aggiunge:

+ Network Security Monitoring: raccoglie/analizza network traffic, offre flow accounting/policing

+ Security Audit Correlation: utilizza VA/PT per la correlazione

+ Anomaly Detection: Log & Packet, Network Behavior, Semantic

+ User Awareness: integrazione con IAM/IDM

+ Intrusion Detection nativamente integrata

Gli apparati AkabSensor rilevano gli eventi, li filtrano e li trasmettono, in formato AKevent cifrato, agli AkabCollector che li correlano, li interpretano ed agiscono di conseguenza. Infine, gli AkabMaster verificano i “ragionamenti” svolti, ne estrapolano un modello di comportamento del sistema e raffinano i meccanismi interpretativi.

Caratteristiche salienti: integrazione con Active Directory/LDAP, utilizzo del formato AKevent, visualizzazione grafica 3D in tempo reale.

L'architettura Akab risponde a requisiti di modularità, scalabilità e distribuzione ed è definita su tre livelli gerarchici:

• AkabSensor raccoglie i dati dalla rete e da apparati di terze parti (traffico di rete, SNMPTrap, syslog, netflow, ...), li filtra e li trasforma in formato AKevent;
• AkabCollector raccoglie le informazioni in formato AKevent da AkabSensor, le correla, le interpreta ed agisce di conseguenza;
• AkabMaster raccoglie i ragionamenti in formato AKevent da AkabCollector e costruisce il modello di comportamento della rete.

Tutta l'architettura, inoltre, è basata su un sistema di Network Security Management che permette di incrociare i dati di sicurezza, di traffico e di stato degli apparati e host, fornendo così un'immagine completa ed integrata del sistema.

Interfaccia Utente

L'interfaccia utente dell'architettura Akab è web-based permettendo così un accesso semplice e generalizzato.
Utilizzando la tecnologia Flash di Macromedia per realizzare grafici e animazioni, si rappresentano, in maniera rapida ed intuitiva, lo stato e l'evoluzione delle reti e degli host.
Inoltre è possibile verificare l'andamento del traffico e degli eventi di rete, in tempo reale e con analisi in tempi successivi su una finestra temporale variabile.

Utilizzo del formato AKevent

Gli eventi rilevati e/o generati sono convertiti in formato AKevent (formato normalizzato universale per la gestione di Eventi).

Integrazione con MS-AD/LDAP (opzionale)

I dati di sicurezza e di rete possono essere integrati con i dati di login degli utenti in modo da poter verificare direttamente il comportamento degli stessi.

Integrazione con sistema di Trouble Ticketing (opzionale)

L'architettura Akab è integrabile con un sistema di Trouble Ticketing.

AkabMaster (AM)

E' l'apparato dell'architettura Akab di livello più elevato a cui sono delegati i compiti di interpretare gli eventi AKevent inviati da tutti gli AkabCollector distribuiti sulla rete; tale interpretazione ha l'obiettivo di creare e rifinire dei modelli di comportamento e di reazione del sistema che facilitino e velocizzino le operazioni svolte dagli altri apparati dell'architettura.

AkabCollector (AC)

E' l'apparato dell'architettura Akab che ricopre un ruolo “intelligente” e “reattivo”: è infatti preposto alla correlazione dei dati inviati (in formato AKevent) dagli AkabSensor e all'attivazione, in un tempo massimo di 1 minuto dalla rilevazione di un evento significativo da parte di un AkabSensor, delle misure di allarme e protezione previste.

AkabSensor (AS)

E' la famiglia di apparati che costituiscono la base dell'architettura Akab e sono preposti alla gestione dei dati raccolti dalla rete e/o ricevuti dai sistemi.
La famiglia di apparati AkabSensor comprende apparati specializzati per particolari funzioni, divisi tra Security Management e Network Management: security audit (AS-SA), intrusion detection (AS-ID), bandwidth management (AS-BM), traffic monitoring (AS-TM), log server (AS-LS).