NicoElNino - stock.adobe.com
Sumo Logic étend le SIEM aux infrastructures cloud
Sumo Logic a ajouté des fonctions de surveillance de la sécurité dans le cloud qui mettent la sécurité en contexte avec l'analyse opérationnelle.
L’amélioration des capacités d’analyse des informations et des événements de sécurité (SIEM) des environnement cloud de la plateforme de Sumo Logic, vise à apporter une supervision de la sécurité tant aux métiers qu’aux équipes DevOps. Il s’agit notamment de permettre aux ingénieurs de sécurité et aux utilisateurs non informaticiens de détecter et d'étudier les menaces tout au long du cycle de vie des applications.
La plateforme analytique de Sumo Logic automatise ainsi la collecte de données d'événements et l'analyse des transactions de l'infrastructure et des applications en production. Ces données aident les entreprises à identifier les problèmes de performance, de processus métier et d'expérience utilisateur.
Jeremy Proffitt, ingénieur senior en fiabilité pour LendingTree, une place de marché en ligne pour prêts, indique passer la moitié de sa journée de travail à vérifier l'état des applications et de l’infrastructure sur les tableaux de bord produits par la plateforme de Sumo Logic : « avec ces fonctionnalités de SIEM appliquées au cloud, je peux consolider des informations de sécurité provenant de différentes sources avec les données opérationnelles que nous surveillons déjà. Le résultat sera une identification et une réparation plus rapide des failles de sécurité ».
Briser les silos de données de sécurité
Qu’ils soient en mode cloud ou déployés en local, les SIEM offrent des fonctionnalités similaires de consommation des alertes et des données de journaux, ou encore de reporting. Mais les SIEM en local peuvent rendre difficiles la corrélation d’événements de sécurité et opérationnels à l’échelle de l’ensemble de l’environnement IT, estime Eric Ogren, analyste chez 451 Research. Avec les services SIEM en mode cloud disponibles à la demande, les utilisateurs reçoivent données de sécurité et notifications à partir d'un tableau de bord multifonctionnel, plutôt que d'un SIEM isolé, en silo : « on observe une prise de conscience du fait que la visibilité sur les données opérationnelles peut orienter les analyses de sécurité dans une direction plus économique et plus cohérente sur le plan organisationnel ».
Eric Ogren souligne que l’analyse des performances et de la sécurité en local est onéreuse : les offres en mode cloud permettent d’éviter les coûts associés à un déploiement en interne, à la maintenance ou encore aux licences, tout en améliorant l’élasticité et l’accès aux ressources de calcul.
Le SIEM en mode cloud comble en outre des lacunes liées à l'utilisation de conteneurs, de micro-services et de fonctions sans serveur, qui peuvent être déployés, utilisés et démantelés avant qu’aucun journal d’activité ou SIEM en interne n'en ait même connaissance de leur existence. Pour Eric Ogren, c’est bien simple : le SIEM en mode cloud constituent une plateforme plus souple pour la surveillance de la sécurité de ces déploiements de courte durée. De éditeurs de SIEM proposent des versions en mode cloud, y compris Splunk, IBM, Micro Focus, LogRhythm, Securonix, Seceon et AlienVault.
Réduire le travail répétitif
Les capacités de SIEM de Sumo Logic réduisent ou éliminent certaines tâches manuelles répétitives, comme celles liées à la création de requêtes dans le développement d'applications et la surveillance de la conformité, constate Brad Segobiano, ingénieur logiciel senior chez Genesys, un fournisseur de technologie pour centres d'appels. Environ 65 % des requêtes appliquées à la plateforme Sumo Logic de Genesys proviennent d'environnements hors production, et 55 % de ces requêtes sont l’effet des développeurs : « construire des requêtes prend beaucoup de temps, mais maintenant, nous pouvons utiliser le SIEM pour écrire une requête et l'appliquer à peu près n'importe où et avec n'importe qui ».
La nature résolument cloud de Sumo Logic facilite la construction de requêtes inter-applications, mais également la surveillance et la gestion des alertes, entre plateformes et applications en mode cloud. Le service SIEM en mode cloud de l’éditeur est intégré aux applications, plateformes, et services de sécurité cloud, tels qu’AWS GuardDuty, Palo Alto Networks et Zscaler.
Brad Segobiano prévoit d’utiliser le SIEM en mode cloud pour enchaîner les requêtes les unes avec les autres et construire des scénarios applicables à la recherche de l’origine d’incidents de production ou de sécurité, notamment.
Afin d'assurer la conformité, chaque hôte et serveur utilisé par Genesys est prépackagé avec la plateforme Sumo Logic et ses fonctions de supervision. Ce qui permet à l'entreprise de déployer le logiciel plus rapidement, explique Jarrod Sexton, responsable de l'architecture de sécurité chez Genesys : « nous pouvons laisser Sumo Logic faire ce qu’il fait en matière de journalisation, d'idéation et d'autres travaux de conformité, et nous pouvons nous concentrer sur la création de logiciels ».