LogPoint intègre à son SIEM son propre moteur d’analyse comportementale

LogPoint vient de présenter la version 6.5 de son système de gestion des informations et des événements de sécurité (SIEM), assortie d’un nouveau module d’analyse comportementale des hôtes et des utilisateurs (UEBA pour User and Entity Behavior Analytics). Affiché comme une version 2.0, ce module est en fait une première.

Il y a un an, LogPoint avait annoncé le premier module UEBA pour son SIEM. Mais ce n’était pas sa technologie : l’éditeur danois avait noué un partenariat avec Fortscale, l’un des porte-étendards de l’analyse comportementale appliquée à la sécurité, et finaliste de l’Innovation Sandbox de l’édition 2015 de RSA Conference. Depuis, RSA a racheté Fortscale, pour doter son SIEM NetWitness d’une couche d’analyse comportementale robuste qui lui faisait jusque-là défaut. Et de le rhabiller au passage aux couleurs de la marque, sous le nom RSA NetWitness UEBA – à ne pas confondre avec NetWitness UEBA Essentials.

Mais le calendrier de ces événements n’était pas si mauvais pour LogPoint. De fait, lors du rachat de Fortscale par RSA, l’éditeur danois travaillait déjà sur son propre module d’UEBA car, pour lui, il n’y a pas de place sur le marché du SIEM pour un éditeur ne disposant pas de ses propres capacités d’UEBA.

Jesper Zerlang, Pdg de LogPoint, expliquait alors ainsi que le partenariat avec Fortscale n’avait qu’un objectif : « proposer rapidement un module d’UEBA », en attendant d’être prêt pour apporter le sien, « d’ici la fin 2018 ». Le module d’UEBA aujourd’hui présenté comme une version 2.0 n’est ainsi rien d’autre que ce qui était en fait déjà évoqué comme une version de test « alpha » au printemps.

Dans un communiqué de presse, LogPoint donne un aperçu de l’étendue des nouveautés. Et cela commence par le support natif d’applications SaaS et d’environnement d’IaaS, ou encore une accélération revendiquée de 50 % dans la détection des menaces.

Le nouveau module d’UEBA doit aider à la détection des maliciels, des attaques avancées persistantes, des déplacements latéraux en phase d’attaque active, d’ouvertures de session ou d’accès à des fichiers anormaux, de changements de droits en masse, de modifications suspectes de privilèges, etc. Selon LogPoint, il s’agit avant tout de corréler les vecteurs d’attaque pour aider les analystes à identifier les actifs impliqués, les risques, et l’avancée de l’incident. Et pour cela, la console présente ce que le moteur d’UEBA identifie comme des anomalies, et indique ce à quoi cela pourrait potentiellement correspondre.