Warakorn - Fotolia
Azure Sentinel : Microsoft lance son alternative cloud au SIEM
L’éditeur vient d’annoncer une offre de gestion des événements et des incidents de sécurité motorisée par son infrastructure cloud et accessible directement depuis le portail Azure. Mais point clé, la tarification n’est pas encore connue.
Protection du poste de travail, détection et remédiation des menaces, accès cloud sécurisé, gestion des identités et des accès… Microsoft n’en finit pas de s’inviter sur de nouveaux domaines de la sécurité. Dernier exemple en date : les systèmes de gestion des informations et des événements de sécurité (SIEM).
A quelques jours de l’ouverture de la conférence RSA, la semaine prochaine à San Francisco, l’éditeur vient ainsi de lever le voile sur Azure Sentinel, un service de SIEM hébergé sur son infrastructure en mode cloud. Lors d’une présentation à la presse, ce mercredi 27 février, Ann Johnson, vice-présidente corporate de Microsoft en charge des solutions de cybersécurité, expliquait l’objectif de l’initiative : apporter une réponse à des entreprises « trop nombreuses » qui s’appuient encore sur un SIEM local « incapable de suivre le rythme avec les besoins des défenseurs, les volumes de données ou l’agilité des adversaires ». Car pour elle, c’est là que le cloud entre en scène : il « ouvre la voie à une nouvelle classe de technologies de sécurité intelligentes qui aident à réduire la complexité et à intégrer les plateformes et outils de productivité » dont dépendent les entreprises. Et selon Ann Johnson, c’est l’expérience propre à Microsoft qui a conduit non seulement à cette conclusion, mais également au développement de Sentinel.
Le vice-présidente corporate de Microsoft revendique là au passage une première, mais certains ne doivent pas manquer de tousser en entendant cette affirmation. AlienVault, par exemple, propose une solution de SIEM hybride avec Anywhere – le stockage, l’analyse et le reporting sont assurés dans le nuage. Il en va de même pour IBM, ManageEngine, Rapid7, Securonix, ou encore Splunk.
Mais là où Microsoft est susceptible de faire une certaine différence, par rapport aux acteurs traditionnels du SIEM, c’est qu’il promet l’ingestion gratuite des journaux d’activité liés à Office 365. Toutefois, pour le reste, la tarification reste un mystère à ce stade, alors que Sentinel n’est accessible qu’en pré-version.
L’éditeur revendique, pour son SIEM en mode cloud, l’ouverture. Et de supporter notamment le format standard CEF pour l’ingestion d’événements. Mais cela ne s’arrête pas là, comme le montrent les sources publiées sur GitHub. On y trouve ainsi les définitions de connecteurs pour AWS, Check Point, Cisco, Cylance, F5, Fortinet, Juniper, Palo Alto, Symantec, ou plus prosaïquement les services Syslog. La documentation de Microsoft fait également référence aux équipements Barracuda, aux fournisseurs de renseignement sur les menaces.
Selon les cas, les utilisateurs peuvent choisir d’amener leurs équipements locaux à remonter directement leurs données d’événements à Sentinel, ou de passer par un agent Sentinel déployé en local, par exemple sur un serveur Syslog.
En l’état, Sentinel apparaît présenter les difficultés classiques d’un SIEM : pour obtenir des alertes pertinentes, il faut soigneusement définir ses règles de détection. Mais le SIEM en mode cloud de Microsoft embarque une fonctionnalité dite « Fusion », qui s’appuie sur des algorithmes d’apprentissage automatique pour assurer la corrélation entre activités suspectes remontées par des systèmes tiers, comme Azure AD Identity Protection, ou Microsoft Cloud App Security. Accessoirement, des capacités d’automatisation et d’orchestration sont également prévues pour accélérer la réponse aux incidents.