Warakorn - Fotolia
La suite Elastic, toujours plus populaire pour la sécurité informatique
Elastic vient d’annoncer une intégration de sa suite à ArcSight, avec la promesse de capacités analytiques plus souples et plus poussées. Une démonstration de plus de la popularité de la pile ELK dans la sécurité.
La suite Elastic – ou pile ELK, pour beaucoup encore – peut désormais être intégrée à ArcSight, le système de gestion des informations et des événements de sécurité (SIEM) de Micro Focus (et précédemment HP).
A l’occasion d’un entretien téléphonique avec la rédaction, Bahaaldine Azarmi, responsable architecture solutions chez Elastic, explique que l’intégration va s’appuyer sur Logstash pour l’acquisition des données : « Logstash apporte de nouveaux composants qui vont permettre de récupérer des données d’autres sources, pour les envoyer vers Elasticsearch dans un format qui déjà parsé ». Cela fait, il est possible de construire avec Kibana des tableaux de bord alimentés par ces données. Côté Logstash, deux nouveaux modules sont apportés : un pour ingérer les données NetFlow, et un autre pour assurer la connexion à ArcSight. Ainsi, les « utilisateurs d’Elasticsearch profitent de plus de 350 formats de journaux gérés » par le SIEM.
Supporter de vastes volumes de données diversifiées
Ce n’est pas un cas isolé. Bahaaldine Azarmi explique que les utilisations de la pile ELK pour l’analytique de sécurité ne sont pas rares. Et il y a une bonne raison à cela : « toutes ces solutions [de SIEM] ont un problème de passage à l’échelle. On ne peut pas forcément y mettre autant de données que dans Elasticsearch. Elles peuvent aussi avoir un problème de variété de la donnée. Souvent, dans un projet de SIEM, on réduit le périmètre à certaines sources de données. Par exemple, dans le réseau, beaucoup de nos clients ne peuvent ingérer que TCP ». Et c’est sans compter le coût de solutions fréquemment facturées selon le volume de données ingérées.
Le recours au SIEM pour la seule collecte de données peut paraître réducteur alors que les éditeurs de ces solutions n’ont eu de cesse d’en étendre le périmètre fonctionnel, à commencer justement par ArcSight avec son module d’analyse comportementale (UEBA) basé sur la technologie de Securonix. Mais il simplifie l’intégration initiale. Au-delà, le recours à ELK permet d’étendre les efforts de corrélation à des sources de données (ou à des volumes de données) non accessibles via un SIEM.
Et Bahaaldine Azarmi d’illustrer : « dans une exfiltration de données, il y a plusieurs étapes ». Parmi elles, potentiellement, compromission de compte utilisateur, accès via des adresses IP ou à des plages horaires inhabituelles… « Avec ArcSight seul, ça va être compliqué d’intégrer les données qui vont permettre de retracer le cheminement ». A l’inverse, avec un éventail de journaux d’activité étendu, comme il est possible de le gérer avec la suite Elastic, « on est capable de faire ces corrélations, et notamment avec apprentissage automatique ».
Une approche de SIEM augmenté
Pour les éditeurs de SIEM ayant cherché à doter leur offre de capacités de Machine Learning pour accélérer la découverte d’anomalies et, potentiellement, de menaces, ça ne ressemble en tout cas pas à une bonne nouvelle.
Car là, le module X-Pack dédié d’Elastic apparaît bien mieux placé, profitant d’une visibilité étendue sur l’infrastructure, en temps réel. Toutefois, relève Bahaaldine Azarmi, le SIEM est lui-même capable d’identifier des schémas dans les données qu’il ingère, mâchant déjà quelque peu le travail. Dès lors, lorsque le SIEM est déjà présent, « Elastic est utilisé en couche de rendu de la donnée, et c’est là sa valeur ajoutée ». Ce qui permet aussi de démarrer plus vite. Du coup, le SIEM n’est pas forcément abandonné : « on voit des intégrations avec IBM QRadar, RSA, Splunk, AlienVault, etc. »
Pour autant, certains projets se font sans système de gestion des informations et des événements de sécurité, en véritablement remplacement : « on le voit aussi, mais plus aux Etats-Unis », notamment lorsque « le SIEM ne peut plus tenir face au volume ». En France, I-Tracing nous confiait, début 2016, suivre cette voie.
Mais par rapport à la concurrence, ArcSight a un atout dans sa manche, que relève Bahaaldine Azarmi : il est taillé pour pouvoir supporter d’importants volumes de données. De fait, depuis l’automne 2016, la plateforme de collecte d’événements de sécurité d’ArcSight, dans sa version 2.0, profite de la mise en œuvre du courtier Kafka. Lors de l’annonce, HP revendiquait la capacité d’ingérer jusqu’à un million d’événements par seconde.