taa22 - stock.adobe.com
SIEM : Chronicle Backstory joue la carte des partenariats tous azimuts
Le système de gestion des informations et des événements de sécurité en mode cloud fête sa première bougie bien entouré à l’occasion de l’édition 2020 de la conférence RSA.
C’était il y a un an : Alphabet, la maison mère de Google jetait dans la mare des systèmes de gestion des informations et des événements de sécurité (SIEM) le pavé Chronicle Backstory. Avec notamment un argument de poids : l’ingestion et le stockage sans limite de temps, et sans facturation ni au nombre de sources de logs, ni au nombre d’événements, ni encore à la vélocité, mais « à la taille de l’organisation ». Un modèle alors présenté comme devant permettre « un niveau d’analyse, d’investigation et de chasse qui ne serait pas autrement possible ». Depuis, Chronicle est (r)evenu chez Google, mais sans s’assoupir pour autant. Et c’est le message qu’il semble vouloir faire passer à l’occasion de l’édition 2020 de la conférence RSA. Car Chronicle n’arrive là ni seul, ni les mains vides.
Il présente ainsi une fonctionnalité dite de « fusion de données intelligente » qui doit permettre d’assurer l’enrichissement automatique des événements et leur corrélation au sein d’une chronologie, le tout assorti d’une API permettant d’alimenter des applications tierces.
A cela, Chronicle ajoute un langage dédié à la détection de menaces à partir des données de journalisation, appelé Yara-L. Le lien avec le langage de création de règles Yara n’est évidemment pas passé sous silence, mais il s’agit d’aller plus loin en « exprimant la détection comportementale dans le temps ». Selon Chronicle, ce langage est conçu pour « gérer les comportements complexes, séquentiels, décrits dans le [framework] ATT&CK du Mitre ».
Pour Anton Chuvakin, ancien analyste du cabinet Gartner passé chez Chronicle courant 2019, Yara-L a l’ambition de « changer la manière dont nous faisons de l’ingénierie de la détection et repérons de nouvelles menaces ». Et l’une de ses forces tient à sa capacité à produire des règles applicables à très grande échelle, « sur des données enrichies, avec un large éventail de télémétrie (au-delà des logs), pour permettre la détection de menaces avancées avec un minimum d’analyse et sans qu’il soit nécessaire d’entraîner des algorithmes ».
Et puis Chronicle se présente bien entouré. Son partenariat avec Vectra est connu depuis l’automne, mais il faut aussi compter avec Acalvio, l’une des jeunes pousses spécialistes des leurres – qui vient d’ailleurs d’annoncer un partenariat avec Crowdstrike Falcon –, mais aussi Siemplify, ou encore Swimlane dans le domaine de l’automatisation et de l’orchestration (SOAR). Et là, il faut également ajouter à la liste Cortex XSOAR que vient d’annoncer Palo Alto Networks, capitalisant sur le rachat de Demisto annoncé début 2019. Plus tôt l’an dernier, Chronicle avait notamment annoncé un partenariat avec Tanium dans le domaine de l’EDR.