IBM QRadar intègre les informations de X-Force dans le SIEM
IBM a dévoilé de nouvelles fonctionnalités pour sa plate-forme de renseignement de sécurité QRadar, y ajoutant la capacité d'intégrer les flux d’informations sur les menaces pour améliorer la pertinence des analyses et des alertes.
La plateforme d’IBM de gestion des informations et des événements de sécurité (SIEM), qui doit être lancée par phases au cours de l’année, propose des flux temps réel d’informations sur les menaces issus de plus de 400 sources différentes, dont le service d’analyse de menaces X-Force. La plate-forme QRadar permet aux équipes informatiques d’appliquer des règles qui peuvent déclencher des alertes sur la base des données issues de ces flux. IBM a mis la main sur QRadar dans le cadre de l’acquisition de Q1 Labs à l'automne dernier.
Selon le groupe, les données sur les menaces permettent au moteur analytique du système de marquer d’indicateurs des comportements susceptibles d’être associés à des attaques ciblées ou des logiciels malveillants sophistiqués. Comme les autres SIEM, QRadar collecte des logs issus de systèmes variés. IBM prévoit d'ajouter des modules d’extension pour les solutions de prévention des fuites de données de Symantec, pour Triton, Websense, pour Stonegate de Stonesoft, et d'autres encore. Un tableau de bord synthétisera les données collectées ainsi que celles des flux de sources externes.
"En combinant analyse et connaissance des menaces les plus récentes, aux données liées aux éléments de sécurité internes, IBM entend fournir un aperçu prédictif et une protection renforcée ", explique Brendan Hannigan, directeur général, IBM Security Systems.
Cette démarche d’IBM s’intègre dans une tendance plus vaste chez les fournisseurs de solutions de sécurité. Hannigan, qui était le Pdg de Q1 Labs avant l'acquisition, avait expliqué à SearchSecurity.com, en novembre dernier, qu'il dirigeait une division nouvellement créée par IBM et qui regroupait l'ensemble de ses offres de sécurité. Hannigan indiquait alors qu'IBM prévoyait de s’appuyer sur le SIEM de Q1 pour consolider ses offres de sécurité pour ses bases de données, de gestion des terminaux, de sécurité des réseaux ainsi que de celle des applications, avant de les renforcer avec des capacités analytiques. Une façon de retirer de l’ensemble de ces systèmes des données plus rapidement exploitables pour des prises de décision.
Dans le cadre de son annonce, Big Blue a indiqué qu'il proposera aussi l’intégration de ses solutions Security Identity Manager et Security Access Manager. IBM travaille en outre à intégrer étroitement la solution avec ses appliances Guardium qui surveillent et gérent les connexions vers et depuis une grande variété de systèmes de bases de données d'entreprise. Il fournit également une connexion à sa plateforme Security AppScan pour alerter sur les applications Web qui nécessitent des correctifs. Ces efforts d’intégration devraient commencer à porter leurs fruits dans le courant du second semestre.
IBM a acquis Q1 Labs en octobre, à peu près en même temps que le rachat de NitroSecurity par McAfee. Les analystes estimaient à l'époque que Q1 et Nitro disposaient de technologies efficaces et de solides bases installées. Ce qui en faisait des cibles d'acquisition clés. Jusqu'à présent, selon le cabinet Gartner, la plupart des déploiements de systèmes SIEM ont été réalisés pour répondre aux exigences de conformité avec PCI DSS - principalement. Mais de nombreuses entreprises commencent à les déployer pour profiter de capacités de reporting.
Adapté de l'anglais par la rédaction.