NetIQ veut simplifier le déploiement du SIEM

La filiale NetIQ d’Attachmate, a profité de RSA Conference, qui se déroulait la  semaine dernière à San Francisco, pour présenter la version 7 de son système de gestion des informations et des événements de sécurité (SIEM), Sentinel. Une mouture avec laquelle l’éditeur entend simplifier considérablement le déploiement et la mise en production d’une technologie réputée pour sa complexité. 

De fait, selon une analyse réalisée par le très sérieux institut SANS pour le compte NetIQ, Sentinel 7 serait particulièrement simple à mettre en route et à commencer à collecter des logs : 15 minutes suffiraient, de base, par exemple, avec des sources Syslog auto-découvertes, notamment parce que l’outil est proposé sous la forme d’appliance virtuelle Suse Linux, pour VMware - il est également disponible sous la forme de package RPM. Bien sûr, il n'est pas question de prétendre que l'on peut partir de zéro et aboutir à un système finement configuré en si peu de temps. Mais Matt Ulery, Directeur Produits chez NetIQ, explique que l'éditeur a fourni d'importants efforts pour permettre à ses clients de faire l’impasse sur toute étape de qualification de plateforme matérielle, notamment. Mais l’un des principaux défis de la collecte, de l’analyse et de la corrélation de logs est la connaissance de la taxonomie et de la syntaxe utilisées pour les logs des différents composants de l’infrastructure surveillés. Et une fois ces éléments connus, «il faut encore connaître les arcanes de quelque langage spécifique », souligne Matt Ulery. «Si un utilisateur avancé veut s’y frotter, il le peut. Mais nous avons développé une interface riche en glisser-déposer, avec une approche beaucoup plus proche du langage naturel.» Et, selon lui, c’est une évolution importante : «pendant la phase de bêta test de Sentinel 7, un de nos clients nous a expliqué qu’il avait eu, dans ses équipes, un spécialiste des règles de corrélation. Mais que, depuis son départ, personne n’avait plus jamais osé toucher à ces règles parce que personne n’était formé, personne ne voulait casser quoique ce soit, et que personne n’avait le temps d’apprendre.» 

Autre point d’effort : les rapports produits par Sentinel 7. «Sur ce salon, tout le monde vous dira ‘mon outil produit tant de rapports’, ‘le mien produit des rapports que d’autres ne produisent pas’... mais la question est surtout savoir quels rapports seront effectivement utiles à l’entreprise.» Là, NetIQ a donc développé une interface permettant de chercher aisément dans les données historiques - y compris archivées - et temps réel, de «manière transparente [...] Nous avons mis en place un système de décompression sélective pour cela, qui nous permet de ne décompresser que les éléments d’un fichier archivé qui seront utiles à la recherche.» Mieux : l’interface de consultation est capable de réorganiser dynamiquement la collecte des données à mesure que l’utilisateur «fouille» les informations relatives à un événement de sécurité qui a attiré son attention - «nous avons ainsi permis à un client de trouver des informations auxquelles il ne pensait même pas lorsqu’il a commencé à étudier les données relatives à un incident.» Partant, l’utilisateur peut demander à générer systématiquement un rapport autour des informations qu’il a obtenu à l’issue de sa recherche et de son analyse. 

Bien sûr, Sentinel 7 s’appuie sur les annuaires de l’entreprise pour associer les données étudiées aux utilisateurs référencés - «de quoi étudier l’activité et le contexte d’un utilisateur, en fonction de son rôle dans l’entreprise.» Enfin, l'outil peut rapidement commencer à suivre des comportements - dès sa mise en route - et, comme il se doit, détecter des anomalies, des différences avec les comportements que l'utilisateur aura identifiés comme normaux.

Dernière originalité : NetIQ Sentinel 7 est facturé selon la taille de l’environnement surveillé et non pas par installation géographique de l’outil.