LogRhythm renforce les capacités opérationnelles de son SIEM

LogRhythm vient de présenter la version 7 de sa plateforme de gestion des informations et des événements de sécurité (SIEM). Et cette nouvelle mouture fait la part belle aux exigences des centres de sécurité opérationnels (SOC).

Et cela se traduit en particulier par l’intégration du carte d’activité malveillante en temps réel, pensée pour fournir « des visualisations interactives représentant l’origine géographique et la localisation des cibles des menaces actives », afin d’aider les analystes en SOC à « détecter et répondre plus rapidement aux modèles d’attaque préoccupants ».

La hiérarchisation des alarmes s’appuie en outre sur un nouvel algorithme de notation basé sur les facteurs de risque, afin de « mieux aligner les opérations de supervision » sur les politiques de gestion des risques.

Au-delà, LogRhythm a également travaillé aux capacités d’orchestration et d’automatisation de la réaction aux incidents de sa plateforme. Des améliorations ont ainsi été apportées dans la personnalisation des workflows et les capacités d’interaction entre équipes distinctes. Mais des extensions apportées au framework d’automatisation SmartResponse permettent désormais d’engager plusieurs actions pré-échelonnées à partir d’une seule alarme, ainsi que l’administration centralisée d’actions impliquant plusieurs localisations géographiques.

Toutefois, l’approche traditionnelle du SIEM, centrée sur l’investigation, n’a pas été oubliée avec l’intégration d’une nouvelle architecture d’indexation de données, baptisée Elasticsearch. Celle-ci intègre la recherche plein texte dans les données non structurées et s’intègre avec les fonctions de recherche contextuelle de la plateforme.

Les performances n’ont enfin pas été oubliées. LogRhythm revendique ainsi jusqu’à 300 % de gains de performances d’indexation par nœud, mais également et surtout la possibilité de dissocier traitement et indexation des données dans les phases d’extension de l’infrastructure. La mise en grappe s’avère donc possible tant sur la partie traitement que sur la partie indexation, de manière distinctes. Et pour les deux, il est possible d’organiser un déploiement haute disponibilité en mode actif/actif, ainsi que de faire croire l’infrastructure par simple ajout de noeuds.