HPE enrichit sa gamme ArcSight d’un produit d’investigation

C’est à l’occasion de la dernière édition de la RSA Conference que HPE a annoncé ArcSight Investigate, un produit de sa gamme ArcSight dédié à l’investigation sur les incidents. Pour celui-ci, HPE indique avoir voulu se concentrer sur les performances et sur la simplicité d’utilisation.

Revendiquant des performances dix fois supérieures à celles offertes par les concurrents, Investigate doit mettre à profit Vertica. Et l’on est presque tenté de souffler ‘enfin !’

Dès l’automne 2011, la rédaction avait posé la question de savoir si, après le rachat de Vertica par HP, ArcSight n’aurait pas intérêt à chercher des transferts de technologies. Alexandre Depret-Bixio, alors responsable des ventes ArcSight en France, ne fermait pas la porte : « ils ont une base de données ultra-performante. Et, oui, on peut imaginer des portages avec ce type de base de données ». Mais il estimait alors que « le marché n’est pas encore prêt pour un portage de Vertica sur un SIEM. Mais c’est techniquement possible et c’est probablement l’avenir ».

ArcSight Investigate doit aussi se distinguer avec une interface de recherche voulue particulièrement intuitive. Dans un billet de blog, Jason Schmitt, vice-président et directeur général ArcSight et Fortify chez HPE Software, assure ainsi que ses équipes ont observé, durant la phase de test privé du produit, « des analystes de sécurité junior créer rapidement des requêtes complexes avec la facilité d’une recherche Google – sans qu’il soit nécessaire d’apprendre un nouveau langage ».

ArcSight Investigate s’intègre avec ESM et ADP. Sans surprise, il peut s’appuyer sur un entrepôt de données Hadoop – HPE a préalablement fait l’effort de rapprocher ArcSight d’Hadoop avec son architecture Haven. L’intégration est notamment assurée par Kafka, déjà mis à profit par ArcSight ADP 2.0 pour augmenter ses performances et sa capacité à traiter de grands volumes d’événements.