Warakorn - Fotolia
RSA NetWitness Suite et ses capacités de renseignement sur les menaces
L’expert Ed Tittel se penche sur la plateforme RSA NetWitness Suite et sur ses capacités d’analyse de données et d’investigation d’incidents de sécurité.
RSA NetWitness Suite (anciennement RSA Security Analytics) est une plateforme de supervision basée sur l'architecture NetWitness Investigator. Elle fournit des outils d’investigation et d’analyse réseau pour enquêter sur les incidents, examiner les paquets de trafic et travailler avec les données et les journaux d’activité des hôtes de l’infrastructure.
Pour l’essentiel, le moteur de RSA NetWitness Suite capture, inspecte et analyse les données, qui sont ensuite marquées avec des indicateurs de menaces et des attributs. La plateforme informe les administrateurs des comportements réseau inhabituels et des anomalies, et fournit des jeux de règles ainsi que des rapports prépackagés pour faciliter l’utilisation et assurer une mise en œuvre rapide.
Avec RSA NetWitness Suite, les administrateurs peuvent détecter des menaces émergentes et avancées – qui pourraient passer inaperçues d’autres contrôles de sécurité –, et y réagir en quelques minutes plutôt que des heures ou des jours. Ils peuvent également utiliser la plateforme pour générer des rapports de conformité pour de nombreux cadres réglementaires.
RSA Live est un service de renseignements sur les menaces accessible exclusivement aux clients de RSA NetWitness Suite. Il n'est pas disponible en tant que produit isolé. La plateforme permet de combiner les données de RSA Live avec celles issues de l’infrastructure supervisée. La corrélation des deux facilite l’identification des menaces.
La souscription à RSA NetWitness Suite comprend rapports et alertes sur les menaces, accès aux sources ouvertes de renseignements, aux rapports sur les serveurs de commande et de contrôle, sur l’identification des kits d’exploits, les vulnérabilités inédites, ou encore les indicateurs de compromission, le tout hiérarchisé selon le niveau de risque. La souscription recouvre également l’accès à certaines fonctionnalités de RSA FirstWatch : liste noire de domaines utilisés par des attaquants, de proxy suspects et des réseaux malveillants, ainsi que l'intégration Active Directory.
RSA Live consolide renseignements provenant de sources ouvertes, mais aussi de RSA FirstWatch ou encore des équipes RSA FraudAction, et également de partenaires de renseignement et de sources payantes.
RSA s’adresse généralement aux grands comptes ainsi qu’aux administrations. Mais l’éditeur peut également s’adapter aux PME. Le déploiement de NetWitness Suite peut ainsi être ajusté aux besoins et priorités du client, en partant d’une seule appliance jusqu’à plusieurs dizaines, partiellement ou totalement virtualisées. RSA ne communique pas publiquement sur la tarification de NetWitness Suite.