Elastic veut accélérer la détection et l’investigation

Elastic confirme ses ambitions dans la sécurité. L’éditeur vient de profiter de la conférence RSA, qui se déroulait la semaine dernière à San Francisco, pour dévoiler la version 7.6 de sa suite dédiée au domaine, Elastic Security. Et les nouveautés ne manquent pas.

Télécharger gratuitement ce guide

Priorités IT 2020 : Les enjeux Sécurité des 12 prochains mois

Les cyberattaques sont en hausse constante et peuvent s'avérer fatales pour les entreprises. Découvrez au travers de cette enquête menée par LeMagIT, les priorités et enjeux en matière de cybersécurité des entreprises pour 2020.

Start Download

• Adresse e-mail professionnelle

  Vous avez oublié d'indiquer une adresse e-mail.

  L'adresse e-mail indiquée semble erronée.

  Cet e-mail est déjà enregistré. Veuillez vous identifier ici.

  Vous avez dépassé le nombre maximum de caractères autorisé.

  Merci d’entrer une adresse e-mail professionnelle.

• • J'accepte les conditions d'utilisation de TechTarget, ainsi que la politique de confidentialité et le transfert de mes informations aux États-Unis pour traitement afin de me fournir les informations pertinentes décrites dans notre Politique de confidentialité.

  Veuillez cocher la case si vous voulez continuer.

• • J'accepte que mes informations soient traitées par TechTarget et ses partenaires afin de communiquer avec moi par le biais du téléphone ou du courrier électronique et ce à propos d’informations pertinentes dans mon contexte professionnel. Je peux me désinscrire à tout moment.

  Veuillez cocher la case si vous voulez continuer.

La première est moteur de détection de signaux faibles, pour Elastic SIEM, qui s’appuie sur près d’une centaine de règles alignées sur le framework ATT&CK du Mitre. Selon l’éditeur, celles-ci doivent assurer la détection « des outils, tactiques et procédures indiquant une activité malveillante ». Des scores de risque et de sévérité sont automatiquement générés par l’outil afin d’aider les analystes à établir leurs priorités. L’ensemble s’appuie sur les données de télémétrie collectées sur les hôtes Windows, macOS et Linux, mais également sur celles remontées par les sondes réseau ou les outils de supervision applicative. Les règles peuvent être personnalisées par les équipes de sécurité.

A cela, il faut ajouter un agent d’EDR (Endpoint Dectection and Response) Windows capable de collecter des données d’activité plus étendues : tentatives d’interception de frappes clavier, injection de code dans des processus existants, etc. Et cela vaut également pour le suivi de l’exécution des scripts Powershell.

Enfin, Elastic Security 7.6 permet d’accéder aux données d’Elastic APM directement depuis l’application SIEM afin d’enquêter sur d’éventuelles activités suspectes. Les données d’AWS Cloud Trail peuvent également être ingérées, en plus des traces d’activité de Google Cloud Platform.

Pour mémoire, c’est en juin 2019 qu’Elastic a lancé son alternative packagée aux systèmes traditionnels de gestion des informations et des événements de sécurité (SIEM). Deux semaines plus tôt, l’éditeur avait annoncé le rachat d’Endgame. Et c’est à l’automne dernier qu’Elastic a présenté son offre combinant SIEM et EPP/EDR.

En profitant des collecteurs présents dans la pile – et en particulier Filebeat, Auditbeat, Packetbeat, Logbeat –, des capacités apportées par Endgame, ou encore des capacités de collecte d’événements à partir de systèmes de détection d’intrusion (IDS) tels que Bro/Zeek et Suricata, Elastic s’est donné les moyens de proposer une solution capable de consolider réseau et hôtes pour offrir une vue globale de l’environnement, jusqu’à certaines applications et API, y compris en cloud.