SIEM : RSA fait (doucement) avancer NetWitness

RSA a officiellement levé voile, il y a quelques semaines, sur la version 11.4 de NetWitness Suite, après l’avoir initialement présentée, en mouture finale, à sa communauté d’utilisateurs courant janvier.

Avec celle-ci, l’éditeur a soigné les fonctionnalités liées à l’investigation, notamment avec l’arrivée d’une recherche « plein texte » totalement intégrée, assortie d’un moteur de suggestions et du support de profils de recherche. Le moteur de détection d’anomalies comportementales (UEBA) a quant à lui été étendu pour intégrer les métadonnées du trafic réseau en s’appuyant sur 24 nouveaux indicateurs. Il s’agit notamment là de tâcher de détecter le trafic potentiellement malicieux caché dans une session HTTPS légitime.

NetWitness 11.4 a également l’occasion de soigner les visualisations des incidents, avec des représentations graphiques en nœuds qui se veulent désormais plus claires, notamment dans la mise en évidence des relations entre entités. En particulier, les flèches entre nœuds représentant des propriétés sont désormais plus courtes que celles représentant des actions. À cela s’ajoute, côté EDR, la possibilité d’examiner en profondeur les hôtes suspects et de les isoler du réseau en cas de besoin. Et l’agent d’hôte supporte aujourd’hui macOS 10.15 Catalina, CentOS 8.x, RHEL 8.x, et Windows 10 version 1909.

La version 11.4 de NetWitness est également l’occasion pour RSA d’ouvrir en bêta une fonctionnalité dite Health and Wellness, qui ambitionne de constituer « une solution avancée robuste et simplifiée pour la supervision des hôtes et des services, dont les performances et l’utilisation des ressources ». Elle s’appuie sur Kibana.

Cette nouvelle mouture de NetWitness apparaît s’inscrire pleinement dans la continuité de la précédente, dévoilée il y a un an. Avec la version 11.3 de NetWitness, RSA mettait ainsi pleinement à profit la technologie d’analyse comportementale de Fortscale, racheté au printemps 2018. L’éditeur avait déjà commencé à intégrer à la version 11.2, l’été de la même année, mais en ne supportant nativement qu’un éventail limité de traces d’activité : celles d’Active Directory, d’ouverture de session et d’authentification de Windows, ou encore des serveurs de fichiers Windows. Et la version 11.3 de NetWitness avait été l’occasion de l’intégration native du module d’EDR, NetWitness Endpoint, avec celui d’UEBA.

Mais si NetWitness 11.3 avait été annoncé début 2019, sa disponibilité n’était alors prévue que pour le courant du second trimestre. Aujourd’hui, la version 11.4 est immédiatement disponible. Mais cela donne moins l’impression d’une accélération du calendrier des développements que d’une sélection d’objectifs relativement modeste pour ceux-ci. Et encore plus si l’on replace cette annonce dans la perspective de la dernière édition du quadrant magique de Gartner pour les SIEM.

Dans celle-ci, RSA apparaît proche de la sortie du carré des leaders. Dans un contexte de concurrence dynamique, son offre semble souffrir d’un certain immobilisme. Gartner souligne un éventail de modèles limité pour les capacités de détection d’anomalies comportementales de NetWitness, l’absence d’approche en propre de l’automatisation et de l’orchestration – les capacités de SOAR se sont initialement appuyées sur Demisto avant son rachat par Palo Alto Networks et repose désormais sur ThreatConnect – ou encore un virage vers le SaaS pas encore entamé par RSA lui-même. Autrement dit, le développement de NetWitness semble avoir bien besoin d’un coup d’accélérateur, que le passage dans le giron d’un fonds d’investissement pourrait apporter.