LogPoint lance la version 5.6 de son SIEM

Maîtriser le coût de stockage des journaux d’activités (logs). C’est l’un des enjeux des environnements de gestion des informations et des événements de sécurité (SIEM). Ceux-ci sont d’autant mieux connus que le modèle commercial de certains SIEM peut entraîner des coûts si élevés qu’au lieu d’y injecter les logs des systèmes de sécurité de l’infrastructure, certains RSSI préfèrent les cantonner aux applications. C’est notamment le cas à la Casden, qui expliquait d’ailleurs son choix de LogPoint lors de la dernière édition des Assises de la Sécurité. 

Et justement, la version 5.6 de ce SIEM européen introduit une fonction d’optimisation des ressources de stockage associées aux journaux d’activité, baptisée Policy Based Routing. Dans un communiqué de presse, Frédéric Saulet, directeur de LogPoint pour l’Europe du Sud, explique qu’il s’agit d’offrir « une très grande finesse de sélection des logs ». 

Dans un billet de blog, l’éditeur précise qu’il s’agit en fait de permettre le filtrage des messages avant leur stockage, mais également de les orienter vers différents entrepôts en fonction de l’urgence et de la sévérité des alertes. En outre, cette fonction doit assurer le stockage des alertes accompagnées de métadonnées « étendues » pour permettre des corrélations à long terme. Dans le détail, un filtre est appliqué durant la collecte, après normalisation, qui va induire des actions basées sur le contenu des logs : « abandonner le log, conserver uniquement des pairs clé-valeur, conserver l’ensemble, et où stocker le log ». L’ensemble doit pouvoir être défini en quelques clics. Une vidéo présente le processus. 

Accessoirement, le collecteur Syslog a été amélioré pour ajouter des numéros de séquence sur les messages reçus, par appareil et par protocole, pour chaque message. De quoi permettre de trier les messages des logs suivant leur ordre de réception. 

Certifié EAL3+, le SIEM de LogPoint est disponible depuis la mi-décembre en version gratuite. Celle-ci est toutefois limitée à 350 événements par seconde et à un maximum de dix nœuds. Offerte dans un premier temps durant 90 jours, la licence pour cette version peut être renouvelée par la suite sans frais, sur demande. Mais toutes les fonctionnalités sont là et le nombre d’utilisateurs n’est pas limité.