Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Elastic annonce la naissance Elastic SIEM

juin 2019 par Marc Jacob

Elastic N.V. annonce Elastic SIEM. Ce lancement s’appuie sur la dynamique et le succès que connaît déjà la Suite Elastic dans le monde de l’analyse de la sécurité. Elastic SIEM introduit un nouvel ensemble d’intégrations de données conçu pour la sécurité, ainsi qu’une nouvelle application dédiée dans Kibana. Celle-ci permet aux spécialistes de la sécurité d’examiner et de catégoriser de façon plus rationnelle les workflows de sécurité réseau et de sécurité de l’hôte. Elastic SIEM fait partie de la distribution d’Elastic par défaut. Il est disponible gratuitement en version bêta dans la Suite Elastic 7.2 et déjà disponible dans Elasticsearch Service sur Elastic Cloud ou par téléchargement.

Plusieurs années de gestation

Voilà déjà quelques années que la Suite Elastic a le vent en poupe auprès des spécialistes de la sécurité, qui sont nombreux à miser sur ses produits pour assurer la protection de leurs systèmes et de leurs données contre les cybermenaces. Ainsi, Bell Canada, Slack, Cisco Talos, le laboratoire national d’Oak Ridge, ainsi que le centre opérationnel de cybersécurité partagé OmniSOC encore Cisco Talos ont confié l’analyse de leur sécurité à la Suite Elastic.

En constatant à quel point la Suite Elastic suscitait l’engouement sur le marché de la sécurité des données et l’étendue de la communauté qui s’était formée autour de ces cas d’utilisation, Elastic a souhaité investir dans des fonctionnalités essentielles qui lui seraient utiles, comme elle l’avait déjà fait pour d’autres solutions comme Logging et APM. Cela a commencé par la collecte des événements et des informations de sécurité, avant de prendre en compte l’ensemble de données de sécurité liées à l’hôte collectées avec Filebeat, Winlogbeat et Auditbeat. La capture d’événements de sécurité réseau a également été élargie grâce à de nouvelles intégrations à des systèmes de monitoring réseau et de détection d’intrusion (IDS) couramment utilisés, tels que Bro/Zeek et Suricata.

Avec sa communauté et ses partenaires, la société a consacré les 18 derniers mois au développement d’Elastic Common Schema (ECS), une spécification extensible de mapping de champs, qui facilite la normalisation des données provenant de sources hétérogènes, ce qui permet la mise en corrélation, la recherche et l’analyse de différentes sources. Avec la capacité à collecter facilement des données de sécurité depuis plusieurs sources et d’un schéma commun pour les stocker, l’étape suivante consistait à développer une interface qui rassemble ces différents éléments en un seul et même emplacement, afin d’offrir aux spécialistes de la sécurité une expérience utilisateur spécialement conçue pour répondre à leurs besoins. C’est ainsi qu’Elastic SIEM est né.
Elastic SIEM

Au cœur d’Elastic SIEM, est intégrée la nouvelle application SIEM – un espace de travail interactif, où les équipes en charge de la sécurité peuvent catégoriser les événements et effectuer les premières investigations. Grâce à son afficheur d’événements Timeline Event Viewer, les analystes peuvent collecter et stocker les preuves des attaques, épingler et annoter les événements pertinents, mais aussi commenter leurs résultats et les partager. Le tout, depuis Kibana. Il est ainsi possible de travailler avec n’importe quelles données au format ECS, et cela devient vraiment simple. L’application Elastic SIEM reprend tous les aspects de Kibana qu’apprécient déjà les équipes de sécurité : son interactivité, la recherche ad hoc et l’analyse réactive en profondeur. Le tout est packagé pour offrir une expérience produit intuitive, parfaitement adaptée aux workflows des centres opérationnels de sécurité (SOC).

Elastic SIEM

L’application SIEM permet l’analyse des événements de sécurité liés à l’hôte ou au réseau, qu’il s’agisse d’investigations associées à une alerte ou de recherche interactive des menaces. Par exemple :

L’analyse des événements de sécurité de l’hôte

Venant compléter la très riche bibliothèque de visualisations et de tableaux de bord déjà disponibles dans Kibana, la vue "Hosts" (Hôtes) de l’application SIEM affiche d’importants indicateurs sur les événements de sécurité de l’hôte. Elle intègre également des tables de données qui permettent l’interaction avec l’afficheur d’événements Timeline Event Viewer. La version 7.2 propose par ailleurs une nouvelle méthode de collecte des données basée sur l’hôte, avec prise en charge de Sysmon dans Winlogbeat.

L’afficheur d’événements Timeline Event Viewer

Dans cet espace de travail collaboratif dédié aux analyses de sécurité et à la recherche de menaces, il suffit aux analystes de faire glisser les objets qui les intéressent dans l’afficheur d’événements Timeline Event Viewer pour créer le filtre de recherche dont ils ont besoin et examiner une alerte en détail. Lors de l’analyse, il peuvent épingler certains événements et les annoter, ou encore ajouter des commentaires pour décrire les actions qu’ils ont entreprises. Une fonctionnalité d’enregistrement automatique garantit que les résultats de l’analyse restent accessibles aux équipes chargées de la réponse aux incidents.


Voir les articles précédents

    

Voir les articles suivants