EclecticIQ, l’ambitieux hollandais de la gestion du renseignement

Cibler les organisations les plus matures

Pim Volkers explique que la plateforme d’EclecticIQ s’adresse d’abord aux organisations les plus matures, parce qu’elle est conçue pour répondre aux besoins des analystes de menaces, bien plus que pour les équipes des centres opérationnels de sécurité (SOC). Ce qui ne signifie pas qu’elle n’est pas susceptible de les aider : ses flux en sortie sont optimisés pour les systèmes de gestion des informations et des événements de sécurité (SIEM).

Pim Volkers souligne toutefois que la plateforme d’EclecticIQ peut également apporter des bénéfices aux équipes chargées de la gestion des vulnérabilités, ou encore de la réponse à incident, voire aux RSSI pour la génération de rapports.

Un tiers des clients d’EclecticIQ évoluent aujourd’hui dans le secteur des services financiers et de l’assurance.

Le reste du portefeuille est plus disparate, entre agences publiques de cyberdéfense, CERTs nationaux, ou encore opérateurs télécoms.

Dans la plupart des cas, c’est l’une des spécificités d’EcleticIQ qui séduit : la plateforme n’est à ce jour pas disponible sous la forme d’un service Cloud ; elle doit être déployée en local.

De vastes capacités d’intégration et d’automatisation

La plateforme d’EclecticIQ est basée sur STIX et TAXII. Ce qui lui permet de supporter un vaste éventail d’intégrations, notamment côté sources de données : AlienVault OTX, Cyberfeed d’Anubis Networks, BFK, Cisco Threat Grid, CrowdStrike Falcon Intelligence, iSight, Flashpoint, Fox-IT InTell, Group-IB, IBM X-Force Exchange, Intel 471.

Pour l’enrichissement, la plateforme supporte Censys, Cisco OpenDNS/OpenResolve, DomainTools, Farsight Security DNSDB, PhishMe, PassiveTotal de RiskIQ, ou encore VirusTotal.

En sortie, la plateforme d’EclecticIQ s’intègre avec Soltra Edge, ArcSight, QRadar, ou encore Splunk, de manière bi-directionnelle. Sans oublier les connecteurs CSV/JSON, Syslog, les règles Snort et Yara, ou encore les possibilités de transmission par FTP ou email.

Elle propose des API REST, et supporte l’analyse d’échantillons suspects via le bac à sable de Joe Security.

La plateforme peut être déployée sur des serveurs CentOS, RedHat ou Ubuntu.

Elle est écrite en Python et s’appuie sur Elastic, PostgreSQL et Neo4J. Mais elle met également à profit Kibana et offre d’élégantes capacités de visualisation.

Une ouverture à un marché plus large

Ceci dit, tous les consommateurs de renseignement sur les menaces n’ont pas les moyens de s’offrir une plateforme complète assortie des analystes requis pour en tirer pleinement profit. Au printemps, EclecticIQ a donc lancé Fusion Center, en partenariat avec un opérateur télécoms en Belgique et un autre aux Pays-Bas.

L’idée est simple : permettre aux consommateurs – avérés et potentiels – de renseignement sur les menaces de réduire leur facture.

En coulisse de Fusion Center, ce sont des analystes qui assurent la curation et la valorisation de flux achetés directement par EclecticIQ. Plus de trente fournisseurs sont intégrés, dont Group-IB, Intel 471, RedSocks et SensCy.

Les données sont filtrées sectoriellement – énergie, services financiers, infrastructures critiques, gouvernements – et géographiquement.

Le renseignement est dédupliqué, consolidé, enrichi et fournit clés-en-main pour des systèmes tels que des SIEM, voire des plateformes d’orchestration telles que celles de Resilient Systems ou de Phantom Cyber.

Les utilisateurs de plateformes complètes de gestion des renseignements sur les menaces peuvent également en profiter. Et réduire ainsi leurs coûts ou améliorer leur efficacité.