nirutft - Fotolia
Balabit étend les capacités d’intégration de Shell Control Box
L’éditeur veut approfondir l’intégration de sa solution de surveillance des comptes à privilèges avec les SIEM, mais également avec les outils tiers de gestion de l’authentification.
Balabit vient de présenter la version 5.0 de Shell Control Box (SCB), sa solution de surveillance des comptes à privilèges – notamment retenue par Docapost, mais aussi Bouygues Telecom ou encore EADS.
Cette nouvelle mouture met l’accent sur l’intégration, tant pour améliorer la gestion des incidents que pour les prévenir. En particulier, l’éditeur revendique une intégration plus poussée avec les systèmes de gestion des informations et des événements de sécurité (SIEM). Et cela commence par HPE Security ArcSight dont SCB vient de recevoir la certification CEF : il peut ainsi envoyer directement les journaux d’activité à ArcSight Data Platform, passée à la version 2.0 à l’automne dernier. Une extension et une application pour Splunk sont également proposées. Et l’API REST a été enrichie de nouvelles fonctions.
Mais ce n’est pas tout. Balabit explique SCB peut désormais s’intégrer à Blindspotter, sa solution d’analyse comportementale annoncée à l’été 2015 et qui vise à détecter les anomalies en temps réel.
Accessoirement, SCB 5.0 fait disparaître les modes de fonctionnement bastion et routeur : il est capable de gérer les deux (connexions transparentes et non-transparentes) simultanément. Le mode pont a également été supprimé.
Toujours pour l’intégration dans les environnements réseau complexes, SCB 5.0 permet de configurer plusieurs interfaces logiques, affectées à différents VLAN, sur chaque interface réseau physique. Qui plus est, il est possible de restreindre les services offerts en fonction des adresses IP ou des réseaux des postes clients.
Le support d’IPv6 est également au programme, qu’il s’agisse de surveiller des clients IPv4 accédant à des serveurs IPv6, ou l’inverse. Et bien sûr aussi les clients IPv6 accédant à des serveurs IPv6. Nombre de ces nouveautés étaient déjà présentes dans SCB 4 F4, mais elles intègrent désormais SCB 5 LTS.
Shell Control Box 5 profite en outre d’une nouvelle interface graphique, qui se veut plus moderne et plus intuitive. Cette mouture est livrée avec une version mise à jour du Desktop Player, qui permet de rejouer les traces d’audit sur un poste Windows ou Linux et un nouveau moteur d’indexation distinct, qui peut d’ailleurs être installé sur un hôte distinct de l’appliance SCB pour répartir la charge.
Le nouveau moteur d’indexation permet de définir des politiques relatives aux langages utilisés pour les utilisateurs pour leurs sessions afin d’améliorer l’efficacité de la reconnaissance optique de caractères dans les protocoles graphique qui permettra, ensuite, de chercher directement des commandes dans les traces d’audit.
A noter un potentiel bémol : le moteur d’indexation de SCB 5 ne supporte pas les modules de sécurité matériels (HSM) USB, utilisés pour stocker les clés privées de chiffrement des traces d’audit.