Maksim Pasko - Fotolia

Actualites

Intel Security met enfin à jour son SIEM

L’éditeur a lancé la version 10 d’Enterprise Security Manager, son système de gestion des informations et des événements de sécurité. Une mouture qui met l’accent sur l’interface utilisateur et les performances, en particulier pour les grands déploiements.

Valéry Rieß-Marchive
par
Publié le: 14 mars 2017

Celui qui doit bientôt retrouver le nom de McAfee vient de lancer la version 10 de son système de gestion des in­formations et des événements de sécurité (SIEM), En­terprise Security Manager (ESM) – acquis en 2011 à l’occasion du rachat de NitroSecurity.

La précédente mise à jour, la version 9.6, ne datait que d’avril 2016, mais elle ne représentait pas l’évolution ma­jeure attendue par beaucoup. Ainsi, Gartner faisait état, l’an passé, de témoignages de « mauvaises stabilité et performances ».

L’interface utilisateur, basée sur Flash, cristallisait de nombreuses critiques. En février 2016, un utilisateur d’ESM s’attendait d’ailleurs à ce que celle-ci soit moderni­sée fin 2014.

La nouveauté tant attendue est au menu d’ESM 10.

Dans un entretien avec la rédaction, Raj Samani, vice-président et directeur technique EMEA d’Intel Security, explique que l’éditeur a attaché une importance toute par­ticulière à la révision de l’UI.

Mais ce n’est pas tout : ESM 10 apporte des améliorations en matière d’équilibrage de charge et de mise en grappe. Il s’intègre également avec ElasticSearch pour renforcer les capacités de recherche. « La capacité à chercher, c’est la capacité à traquer [les attaquants]. C’est une capacité cri­tique », estime-t-il. Il n’est d’ailleurs pas rare que le trip­tique Elastic/Logstash/Kibana soit évoqué pour la gestion des événements de sécurité.

Une interface graphique revue et modernisée

La console d’ESM 10 fournit de nouveaux tableaux de bord en HTML5, personnalisables, assortis de menus guidant l’analyste vers les étapes suivantes de son inspec­tion. Les colonnes des tableaux sont ajustables pour amé­liorer la visibilité sur les données.

L’interface permet en outre d’enquêter sur les menaces au travers de multiples onglets tout en conservant le con­texte historique dans un onglet distinct.

Le moteur de recherche fournit pour sa part, en temps réel, des suggestions pour compléter les requêtes.

Pour la console, l’éditeur recommande Chrome 48 ou plus, même s’il supporte aussi Firefox et Internet Explorer 11. Petit bémol, l’interface de configuration reste quant à elle en Flash.

Pour l’essentiel, les utilisateurs des versions antérieures d’ESM ne devraient pas être déroutés. La version 10 capi­talise sur les qualités reconnues de ce SIEM.

Une administration simplifiée

Le déploiement se veut simplifié, en particulier pour les grands environnements distribués. Raj Samani en veut pour preuve qu’Intel l’utilise en interne. « Nous l’utilisons dans notre environnement. C’est la meilleure démon­stration que nous aimons ce produit ». Et de revendiquer des délais de déploiement de l’ordre de « jours ou de se­maines, mais pas de semaines ou de mois ».

D’ailleurs, à l’adresse de ceux qui douteraient de la fiabil­ité et des performances d’ESM 10, il lance un : « faites un pilote ! ».

Les workflows de gestion des événements permettent même d’envisager d’automatiser - au moins en partie - la réponse aux incidents. Raj Samani indique que des tests en ce sens ont déjà eu lieu dans différentes industries.

Mais la prudence perdure. « Peu d’organisations sont al­lées aussi loin. Automatiser la réponse est moins une question de technologie que de processus. L’impact d’une réponse à un faux positif peut être considérable ». Pour lui, accepter l’automatisation, c’est d’abord « un acte de foi ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)