Aperçu de la plateforme analytique d’Hexis Cyber Solutions

HawkEye AP : ingestion et traitement des données

La plateforme est conçue pour traiter des centaines de formats de données différents automatiquement. Les données ingérées par le module de collecte d’événements sont stockées dans l’entrepôt de données de la plateforme, une base de données non réinscriptible – de type write once, read many – optimisée pour le stockage en colonnes. Ce choix permet d’assurer l’intégrité des données en évitant leur altération et améliore les performances en supprimant les mécanismes nécessaires pour supporter l’actualisation des données. La base de données peut être interrogée en SQL et supporte les outils de décisionnels tiers, notamment pour la génération de rapports.

Cette ouverture peut s’avérer pratique dans certains cas, mais le volume de données et les attributs fortement détaillés liés aux événements de sécurité peuvent rendre difficile l’utilisation d’outils décisionnels classiques pour trouver des informations véritablement utiles. Le composant analytique de HawkEye AP intègre des capacités de gestion des utilisateurs, mais aussi de reporting, taillées pour la sécurité informatique. Ces outils alimentent des modules de tableau de bord, de production de rapports et d’investigation. Le tout via une console HTML5 qui se présente comme point d’entrée central sur les données de sécurité.

HawkEye G : détection des menaces

Pour aller plus loin et réduire le volume de données avec lesquelles les analystes doivent composer, HawkEye AP fournit un module de détection de fils d’événements, baptisé HawkEye G. Disponible en version 4.0 depuis mai 2016, racheté en juin par WatchGuard, il s’appuie sur des techniques d’apprentissage automatique et d’analyse statistique pour aider à identifier des motifs, à classer les données. De quoi permettre aux analystes de se concentrer sur les parties les plus informatives des données de sécurité disponibles.

HawkEye AP, couplé à HawkEye G, apporte une plateforme complète d’analyse de sécurité Big Data. HawkEye AP collecte les données des serveurs et des équipements réseau tandis que HawkEye G se charge de celles des postes utilisateurs en s’appuyant sur des agents résidents. HawkEye G dispose en outre de modules de détection des événements à l’extrémité du réseau, ainsi qu’à partir de plateformes tierces.

Les événements de sécurité significatifs ne représentent généralement qu’une petite part de tous ceux enregistrés. Chercher des activités malicieuses au sein d’un réseau de gestion en activité relève souvent de la recherche de l’aiguille dans une botte de foin. HawkEye G intègre la technologie propriétaire ThreatSync qui vérifie les menaces pour réduire les faux positifs, en utilisant des techniques de corrélation entre hôtes et réseau. Elle hiérarchise en outre les événements pour aider les analystes à se concentrer sur les menaces les plus sérieuses. HawkEye ajoute à cela des mécanismes d’automatisation de la réponse aux incidents à partir de règles pré-établies.

Prix, support et déploiement

HawkEye AP est une plateforme logicielle conçue pour s’installer entre le SOC et l’infrastructure réseau et sécurité de l’entreprise. En plus de celle-ci, Hexis propose une option de service managé pour ceux qui préfèrent déléguer l’administration et la maintenance de la plateforme.

L’éditeur ne communique pas sur sa tarification. Il propose un support 24h/24 via son portail client, et un support téléphonique en heures ouvrées, voire en 24/7 dans le cas d’accords de niveau de service spécifiques. Hexis propose également des services d’aide à la planification et au déploiement. Il est partenaire d’EMC, de Lastline, de Palo Alto Networks, de SourceFire (Cisco) et de Cerner.

Adapté de l’anglais.