Gestion de la sécurité : Elastic lance son alternative prépackagée aux SIEM

Ce n’est plus une surprise pour personne : la suite Elastic – ou pile ELK, pour encore beaucoup –, a été largement adoptée comme alternative aux systèmes de gestion des informations et des événements de sécurité (SIEM) traditionnels. Le Français I-Tracing s’y intéressait déjà il y a trois ans ; Gfi Informatique en utilise des composants pour Keenaï. Et cela vaut aussi pour SIEMonster, entre autres.

Elastic avait conscience de cette réalité de longue date. En 2017, Bahaaldine Azarmi, responsable architecture solutions chez Elastic, expliquait assez simplement cet intérêt du monde la sécurité pour Elastic : « toutes ces solutions [de SIEM] ont un problème de passage à l’échelle. On ne peut pas forcément y mettre autant de données que dans Elasticsearch ». Et c’est sans compter avec les questions de performances ou encore de diversité de données ingérées.

Près de deux plus tard, Bahaaldine Azarmi le souligne : « on peut, dans la pile Elastic, ingérer des téraoctets de données chaque jour, avoir des pétaoctets dans un cluster et faire en sorte de toujours avoir des réponses en temps réel. C’est ce qui importe à nos clients, RSSI et DSI. Le besoin est d’avoir une réponse dans l’instant, et de ne pas avoir à attendre une heure lorsque l’on fait une requête ».

Alors aujourd’hui, Elastic n’hésite plus à venir chasser ouvertement sur les terres du SIEM, lançant sa propre offre packagée, à l’occasion de la sortie de la version 7.2 d’Elastic Stack. Et de citer au passage quelques mises en œuvre majeures de sa suite dans ce contexte : Bell Canada, Slack, les équipes Talos de Cisco pour la chasse aux menaces, l’OmniSOC, ou encore l’Oak Ridge National Laboratory du ministère américain de l’Energie.

Bahaaldine Azarmi explique qu’Elastic SIEM, aujourd’hui proposé en version beta, vise d’abord la détection des menaces, avec « tableau de bord, règles de corrélation, alertes, et chasse interactive à l’adversaire ». D’autres aspects, comme la conformité réglementaire, ne sont pas ignorés, mais la détection de menaces constitue le cas d’usage aujourd’hui privilégié, en misant sur Elastic Common Schema (ECS).

ECS n’est pas nouveau, mais il permet de jongler entre données structurées différemment, suivant leurs sources, sans se préoccuper de ces différences : « c’est une chose que l’on a introduite en prévision de l’arrivée de SIEM. Ce qui fait qu’aujourd’hui, SIEM constitue une application qui utilise ECS et tirant pleinement partie de tous les collecteurs présents dans la pile – notamment Filebeat, Auditbeat, Packetbeat, Logbeat, qui remontent les événements ». Et l’on voit tout ce que peut apporter à l’ensemble la récente acquisition d’Endgame, ou encore les nouvelles capacités de collecte d’événements à partir de systèmes de détection d’intrusion (IDS) tels que Bro/Zeek et Suricata.

L’application Elastic SIEM propose donc, à partir de son tableau de bord, « tout un tas d’informations sur les hôtes, le réseau, les tentatives d’exploitation de vulnérabilités », mais surtout, souligne Bahaaldine Azarmi, une quatrième représentation, chronologique et interactive, par glisser-déposer : « vous prenez une adresse IP ; vous la jetez dedans ; vous prenez un processus Windows ; vous le jetez dedans ; vous prenez un évènement réseau ; vous le jetez dedans ; etc. Et de là, vous pouvez corréler l’ensemble et accéder par exemple immédiatement à l’ensemble des événements reliés à un hôte pour affiner l’investigation, en lui ajoutant graduellement des dimensions, jusqu’à isoler ce qui est vraiment suspect ».

L’application Elastic SIEM va être proposée gratuitement avec la suite, pour déploiements en local, ou encore en mode cloud. Progressivement, l’éditeur prévoit de créer des workflows spécifiques aux activités des centres opérationnels de sécurité (SOC), intégrer le renseignement sur les menaces et plus encore. Bahaaldine Azarmi indique qu'’Elastic dispose déjà d’un plan de route bien défini pour l’extension du périmètre fonctionnel de sa nouvelle application.

Avec cette nouvelle initiative, Elastic vient à son tour et ouvertement secouer le marché du SIEM où se sont invités récemment Chronicle avec Backstory, ou encore Microsoft, avec Azure Sentinel. Et c’est sans compter avec des jeunes pousses comme Exabeam, Jask, ou encore Securonix.

Dans ce contexte, Bahaaldine Azarmi explique le pari d’Elastic : si pour lui, certaines nouvelles offres sont effectivement très prometteuses, « aucun de ces acteurs ne peut dire aujourd’hui qu’il a autant d’utilisateurs que nous, sur Elasticsearch ». Et sa nouvelle application, ce que fait Elastic, « c’est mettre à disposition de tous nos utilisateurs des fonctions de SIEM packagées. Et toutes les organisations ont besoin de sécurité ». Dès lors, pour Bahaaldine Azarmi, « le pouvoir d’adoption [d’Elastic sur ce nouveau marché] est plus important que celui de toutes les autres solutions réunies ». Et cela en s’appuyant sur un datalake déjà déployé.