Les composants

La plateforme TRACKWATCH est composée de trois appliances:

  • Une appliance centrale, appelée GCENTER, qui reçoit les informations envoyées par les sondes, et qui utilise la technologie TRACKWATCH pour détecter et analyser la « killchain »,  

  • Une ou plusieures sondes, appelées GCAP, qui écoutent le trafic sur lequel elles sont placées,  

  • Une appliance laboratoire appelée GBOX, qui reçoit le téléchargement du fichier sur sa plateforme afin de détecter le pourcentage de malveillance.

../_images/EARCHI2.png

Le serveur de management GCENTER permet:

  • La détection de tout type de vecteurs d'attaques,  

  • L'analyse multi-formats de fichiers sans exécution,  

  • L'analyse parallèle des fichiers au travers d'algorithmes de LoadBalancing,  

  • La détection d'exploitation de vulnérabilités (shellcodes polymorphes, encodage, etc),  

  • La détection d'attaques 0 Days par exécution dynamique contrôlée,  

  • La reconstruction des attaques / kill chain par analyse comparative et syntaxique,  

  • La rétro analyse automatique des fichiers suspicieux.

../_images/Gcenter0.png

La sonde GCAP permet:

  • De détecter les intrusions avancées, dites APTs (Advanced Persistant Threats),  

  • D'analyser et détecter les signaux faibles de comportements malveillants et intrusifs,  

  • De visualiser les incidents de sécurités de manière intuitive,  

  • D'analyser les flux réseau de 10Mb/s à 40Gb/s.

Une sonde de capture GCAP, est installée stratégiquement sur un site en particulier. Cette sonde de capture sera chargée de capturer, reconstruire, trier et transmettre les fichiers, les codes et les événements au serveur de management GCENTER. Concernant la confidentialité de ce dernier, aucune donnée capturée n'est transmise à l'extérieur, son optimisation s'adapte à des environnements restreints. Le mode de déploiement de la solution se fait en dérivation à partir d'un TAP agrégateur ou non ou de miroir de port (SPAN) si hors LPM.

../_images/Gcap0.png

Le serveur d'analyse GBOX permet:

  • De répondre aux analystes en SOC et CERT grâce à une analyse avancée d'échantillons,  

  • Inspecter rapidement et compléter des échantillons facilitant l'analyse forensic,  

  • Générer rapidement des IOC pertinents pour alimenter la Threat-Intel de l'environnement.

../_images/Gboxlogo.png