Warakorn - Fotolia

Aperçu de la plateforme analytique de FireEye

L’expert Dan Sullivan se penche sur la Threat Analytics Platform de FireEye, un produit d’analyse de sécurité en mode Cloud qui offre détection de menaces et renseignement contextualisé.

Les professionnels de la sécurité de l’information peuvent aisément être débordés par les données d’événements générées par le réseau, les terminaux, et les applications. Mais il n’est pas question pour autant de tailler dans ces volumes de données : la détection des attaques avancées nécessite souvent l’analyse de données provenant de multiples sources. C’est là qu’entrent en jeu les plateformes analytiques, à l’instar de celle de FireEye, pour aider à collecter, analyser, et hiérarchiser les données relatives aux événements de sécurité.

Détection de menaces en temps réel

La plateforme analytique de FireEye applique une analyse temps réel aux flux réseau ainsi qu’aux données des journaux d’activité pour identifier les activités potentiellement malicieuses. Le système utilise une combinaison de règles, d’analytique et de données de renseignement sur les menaces pour classifier les événements de sécurité. Lorsqu’un éventuel problème est identifié, la plateforme génère une alerte pour notifier les administrateurs.

La plateforme de FireEye est conçue pour traiter et analyser jusqu’à 80 000 événements par seconde. En analysant les événements de bas niveau et en corrélant les activités, la plateforme peut aider à identifier utilisateurs et équipements impliqués dans l’attaque. Le produit offre ce que FireEye appelle une capacité de recherche sub-seconde, qui permet aux analystes de rechercher rapidement parmi des millions d’événements.

L’analytique de sécurité en mode service

L’analytique de sécurité représente de plus en plus un important défi. Et le marché de l’analyse des menaces ne manque pas d’en profiter pour croître. Toutefois, FireEye ne prend pas l’approche commune consistant à vendre logiciels ou appliances. Il commercialise sa plateforme analytique sous la forme d’une service Cloud. Cela comporte de nombreux avantages. Il n’est ainsi pas nécessaire d’acheter, de déployer et de maintenir des équipements en local. Cela réduire la charge pesant sur les équipes d’exploitation réseau et sécurité. Et cela évite les dépenses d’investissement.

En outre, cette approche permet à FireEye d’enrôler ses clients en l’espace de quelques heures, au lieu des semaines qui peuvent être nécessaires à certains cycles d’achat de matériel.

Hiérarchiser les événements de sécurité

Compte tenu de la nature des menaces actuelles, il n’est pas surprenant que les administrateurs puissent être noyés sous les alertes. Trouver un logiciel malveillant commun dans un fichier en transit vers la boîte de messagerie d’un utilisateur est courant. Tellement courant d’ailleurs, qu’aux côtés d’autres événements à risque limité, il est susceptible de distraire les professionnels de sécurité d’autres menaces représentant un risque plus important et nécessitant leur attention.

La plateforme de FireEye hiérarchise les alertes afin de permettre aux équipes chargées de la réponse aux incidents de se concentrer sur les incidents les plus menaçants. Elle répond aussi au besoin de support de workflows avec des outils conçus pour assigner des tâches et surveiller leur exécution. Les équipes chargées de la réponse peuvent ajouter leurs propres notes et joindre les fichiers pertinents à un enregistrement d’incident afin d’aider à consolider l’information relative à chacun d’entre eux. Des outils de recherche sont prévus pour aider à retrouver ces informations.

FireEye propose quatre programmes de support : Platinum, Platinum Priority Plus, Government, et Government Priority Plus. Chacun intègre le support 24/7 par e-mail, téléphone et dialogue en direct, tandis que les versions Plus ouvrent la voie à un accès direct à des ingénieurs de support séniors. FireEye propose également, en ligne, des forums communautaires, des formations techniques et l’accès à un réseau de partenaires.

Conclusion

De nombreuses organisations peuvent tirer profit des outils analytiques de sécurité. Mais elles peuvent être freinées dans leur élan par le besoin de supporter des éléments d’infrastructure supplémentaires, ou par le manque de fonds nécessaires aux investissements en matériels et licences. La plateforme de FireEye déporte l’analytique de sécurité dans le Cloud, créant ainsi une option pour ceux qui préfère une facturation à la consommation. Et la combinaison de cela avec un mécanisme de hiérarchisation des alertes peut constituer un élément différenciant attractif.

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close