Elastic veut accélérer la détection et l’investigation

Elastic confirme ses ambitions dans la sécurité. L’éditeur vient de profiter de la conférence RSA, qui se déroulait la semaine dernière à San Francisco, pour dévoiler la version 7.6 de sa suite dédiée au domaine, Elastic Security. Et les nouveautés ne manquent pas.

La première est moteur de détection de signaux faibles, pour Elastic SIEM, qui s’appuie sur près d’une centaine de règles alignées sur le framework ATT&CK du Mitre. Selon l’éditeur, celles-ci doivent assurer la détection « des outils, tactiques et procédures indiquant une activité malveillante ». Des scores de risque et de sévérité sont automatiquement générés par l’outil afin d’aider les analystes à établir leurs priorités. L’ensemble s’appuie sur les données de télémétrie collectées sur les hôtes Windows, macOS et Linux, mais également sur celles remontées par les sondes réseau ou les outils de supervision applicative. Les règles peuvent être personnalisées par les équipes de sécurité.

A cela, il faut ajouter un agent d’EDR (Endpoint Dectection and Response) Windows capable de collecter des données d’activité plus étendues : tentatives d’interception de frappes clavier, injection de code dans des processus existants, etc. Et cela vaut également pour le suivi de l’exécution des scripts Powershell.

Enfin, Elastic Security 7.6 permet d’accéder aux données d’Elastic APM directement depuis l’application SIEM afin d’enquêter sur d’éventuelles activités suspectes. Les données d’AWS Cloud Trail peuvent également être ingérées, en plus des traces d’activité de Google Cloud Platform.

Pour mémoire, c’est en juin 2019 qu’Elastic a lancé son alternative packagée aux systèmes traditionnels de gestion des informations et des événements de sécurité (SIEM). Deux semaines plus tôt, l’éditeur avait annoncé le rachat d’Endgame. Et c’est à l’automne dernier qu’Elastic a présenté son offre combinant SIEM et EPP/EDR.

En profitant des collecteurs présents dans la pile – et en particulier Filebeat, Auditbeat, Packetbeat, Logbeat –, des capacités apportées par Endgame, ou encore des capacités de collecte d’événements à partir de systèmes de détection d’intrusion (IDS) tels que Bro/Zeek et Suricata, Elastic s’est donné les moyens de proposer une solution capable de consolider réseau et hôtes pour offrir une vue globale de l’environnement, jusqu’à certaines applications et API, y compris en cloud.