Prazis - Fotolia
Vectra joue l’ouverture en offrant des métadonnées d’activité réseau au format de Bro
Sa plateforme d’analyse du trafic réseau Cognito va pouvoir remonter des métadonnées enrichies aux plateformes de chasse aux menaces déjà utilisées par les analystes et supportant Zeek.
Vectra avait déjà fait un premier pas en direction de la chasse aux menaces furtives – au-delà de la seule détection en temps réel – avec Cognito Recall, annoncé au printemps 2018. Ce dernier visait à permettre aux analystes de conduire des investigations complètes à propos des incidents détectés, en s’appuyant sur toutes les métadonnées collectées au fil du temps sur les terminaux, les flux réseau, et les utilisateurs, de manière chronologique, et indépendamment des éventuels changements d’adresses IP. Mais Vectra semble avoir pris acte du fait que les analystes peuvent vouloir privilégier d’autres outils pour partir à la chasse aux menaces.
Et justement, pour ces activités, Bro – rebaptisé Zeek à l’automne dernier – constitue un système de surveillance des flux réseau particulièrement populaire, que certains peuvent avoir voulu remplacer par Cognito, ou compléter avec ce dernier, sur leurs périmètres réseau les plus sensibles. Dès lors peut se poser naturellement la question de l’utilisation des données collectées par Cognito de Vectra avec celles utilisés pour la chasse aux menaces à partir de logs Zeek, qu’il s’agisse d’EQL, de Security Onion ou encore du projet Rita.
Dans un communiqué de presse, Vectra explique que la nouvelle fonctionnalité Stream de Cognito produit des « enregistrements transactionnels de chaque communication réseau », des métadonnées « enrichies avec l’identité de l’hôte pour éliminer les recherches parallèles dans les logs DHCP » nécessaires au suivi des changements d’adresses IP, ainsi que des « informations de sécurité générées par apprentissage automatique », le tout au format Zeek.
Outre une compatibilité avec des outils d’analyse tiers, et en particulier libres, Stream permet d’éviter la capture de paquets complets. De quoi réduire considérablement les besoins de stockage – ou d’étendre la période de rétention de données – tout « en assurant la conformité avec les impératifs de confidentialité, comme le règlement général de protection des données (RGPD) européen ».