kentoh - Fotolia
Metron devient un projet à part entière de la fondation Apache
La fondation vient d’élever au rang de « top-level project » ce framework dédié à la supervision et à l’analyse d’événements de sécurité à grande échelle.
Metron sort de l’incubateur de projets de la fondation Apache pour devenir un projet à part entière, après un peu plus d’un an d’incubation. Dans un communiqué, la fondation rappelle qu’il s’agit d’un framework analytique dédié à la sécurité informatique, s’appuyant sur plusieurs éléments de l’écosystème Hadoop : « Metron est une pateforme unifiée pour l’agrégation et l’enrichissement d’un vaste éventail de données relatives à la sécurité. Construit sur Apache Storm, HBase et Kafka, Metron peut ingérer, transformer et normaliser n’importe quelle source de télémétrie à grande échelle, y compris la capture de paquets réseau complets ».
La détection des menaces au sein des données collectées – dont bien sûr les journaux d’activité – et enrichies – notamment pas des sources de renseignements sur les menaces – peut s’appuyer sur des règles comme sur des modèles d’apprentissage machine. C’est Storm qui s’occupe du traitement en temps réel, tandis que Kafka est mis à profit pour la collecte des données de télémétrie – avec l’aide de Nifi.
Metron est né du projet OpenSOC de Cisco, en 2013, alors que l’industrie de la cybersécurité prenait résolument le virage de l’analytique Big Data. Hortonworks, qui n’a pas manqué de le soutenir dès le début de son incubation au sein de la fondation Apache, le présentait d’ailleurs lors de l’édition 2016 de l’Hadoop Summit européen. Avant cela, James Sirota, scientifique des données en chef de Cisco et responsable du projet OpenSOC, avait rejoint les équipes d’Hortonworks.
Selon la fondation Apache, Metron, dont la première version (0.1) a été lancée en avril dernier, est aujourd’hui notamment en production chez le fournisseur d’accès à Internet australien Telstra.
Certains n’ont pas attendu le projet Metron pour appliquer le Big Data à leurs activités de SOC. I-Tracing s’appuie ainsi par exemple sur une plateforme basée sur une distribution Hadoop Hortonworks, Flume pour l’intégration des logs, ElasticSearch pour l’indexation et Kibana pour la partie recherche.