Elastic package SIEM et EDR

Elastic vient de lever le voile sur une nouvelle solution, baptisée Elastic Endpoint Security. L’éditeur avance ainsi le premier fruit concret du rachat d’Endgame annoncé au mois de juin, pour un montant de 234 M$.

Pour mémoire, Endgame faisait partie de ces jeunes acteurs combinant protection du poste de travail (EPP) et détection/remédiation (EDR). Dans le premier domaine, il est ressorti en très bonne position de la dernière campagne de tests de NSS Labs. Et pour l’EDR, son vice-président en charge de la R&D a exprimé une satisfaction certaine, malgré quelques réserves, à la suite des résultats de la première campagne d’évaluation du Mitre.

Mais Elastic ne s’arrête pas là et combine EPP/EDR avec système de gestion des informations et des événements de sécurité (SIEM). Toujours en juin dernier, l’éditeur a lancé son alternative prépackagée aux SIEM traditionnels, prenant ainsi acte de l’utilisation de plus en plus courante de sa pile logicielle dans ce domaine.

En profitant des collecteurs présents dans la pile – et en particulier Filebeat, Auditbeat, Packetbeat, Logbeat –, des capacités apportées par Endgame, ou encore des capacités de collecte d’événements à partir de systèmes de détection d’intrusion (IDS) tels que Bro/Zeek et Suricata, Elastic se donne les moyens de proposer une solution capable de consolider réseau et hôtes pour offrir une vue globale de l’environnement.

Et de s’inscrire ainsi dans une tendance qui s’affirme depuis plusieurs années à l’intégration des postes de travail et serveurs aux sources de données de sécurité et à leur analyse pour développer une vision aussi complète que possible de la menace et pouvoir lutter contre elle dans chacune de ses dimensions. Dès 2014, Sophos s’inscrivait dans cette tendance. Mais il a été rejoint par la suite par de nombreux acteurs, à l’instar de Fortinet, Palo Alto Networks, Kaspersky, Check Point, ou encore Watchguard.

Mais quitte à venir secouer le marché, Elastic va un peu plus loin en ne facturant pas à l’hôte protégé ou surveillé : comme pour le reste de son offre, c’est une facturation à la capacité qui est appliquée.

Cette annonce survient à quelques jours du lancement de la version 7.4 de la suite Elastic. Celle-ci marque notamment l’intégration de Maps à l’application SIEM, l’authentification avec des certifications clients X.509, mais également de nouvelles méthodes d’analyse et d’application des algorithmes d’apprentissage automatique, en mettant à profit les capacités de transformation introduites avec la version 7.3 de la suite Elastic. Deux nouvelles méthodes sont ainsi disponibles, ainsi que 13 nouveaux traitements par apprentissage automatique prêts à l’emploi.