Nouveautés

Limitless XDR : ingérez, conservez et analysez gratuitement des données de sécurité

Par
Mike Nichols

Les fonctionnalités les plus récentes d'Elastic Security définissent le potentiel du XDR pour les équipes de cybersécurité. Notre plateforme unique combine le SIEM et la sécurité aux points de terminaison, permettant aux utilisateurs d'ingérer et de conserver d'importants volumes de données provenant de sources diverses, de stocker et de rechercher des données plus longtemps, et de renforcer la recherche des menaces grâce aux détections et au Machine Learning.

Les fournisseurs de solutions de sécurité utilisent de plus en plus fréquemment le terme "XDR", qu'ils définissent de différentes façons en fonction de leurs technologies respectives. Ce terme est dérivé d'EDR (détection et réponse aux points de terminaison) et a été introduit pour exprimer le besoin de sources de données variées dans le processus d'investigation, le "X" provenant de "eXtended". Malgré les nombreuses définitions, les concepts de base restent les mêmes :

  • Visibilité : la croissance exponentielle des données rend le travail des professionnels de la sécurité de plus en plus difficile. Ceux-ci doivent disposer d'un emplacement central pour procéder aux analyses, à l'identification des causes premières et à la planification des résolutions.
  • Analyse : cet ensemble de données centralisé ne doit pas être un marais de données. Il doit offrir aux utilisateurs un cadre flexible pour constituer, activer et surveiller les nouveaux cas d'utilisation de l'analyse à grande échelle. Il doit également s'intégrer harmonieusement aux workflows des analystes pour que ceux-ci puissent établir des priorités et construire le récit des attaques. 
  • Réponse : cette solution centralisée doit être réactive. Les utilisateurs ont besoin d'un moyen de remédier aux attaques ; le mieux est de les prévenir avant même qu'elles ne commencent. La "détection" des ransomwares n'aide pas les organisations. La sécurité native aux points de terminaison permet de réduire à zéro le temps moyen de résolution (MTTR).

En fin de compte, chez Elastic, nous définissons XDR de la façon suivante :

La solution XDR modernise les opérations de sécurité, en permettant l'analyse de toutes les données et en automatisant les principaux processus pour doter tous les hôtes de fonctionnalités de prévention et de résolution.

Lorsqu'ils voient le terme XDR, un grand nombre d'utilisateurs d'Elastic se disent : "Je procède déjà ainsi dans mon programme de sécurité". En fait, la stratégie consistant à collecter des données provenant de sources multiples, à les analyser à grande échelle, à évaluer les informations qu'elles contiennent pour détecter des menaces, à élaborer un plan d'intervention, puis à mettre en œuvre des mesures de résolution peut être considérée comme la doctrine d'un SOC (centre opérationnel de sécurité). Ce que le XDR promet de faire, c'est d'intégrer une grande partie de ce travail dans une solution unifiée et de fournir de l'aide, dans la mesure du possible, pour accélérer le workflow des analystes en matière de tri, d'analyse, de signalement et d'intervention, ce qui, en fin de compte, permettra de mettre cette fonctionnalité à la portée d'un plus grand nombre d'utilisateurs. Les organismes malfaisants ciblent n'importe qui, pas seulement les établissements équipés de SOC, et XDR promet d'aider non seulement les entreprises, mais aussi les organisations qui n'ont pas encore mis en place des programmes de sécurité robustes pour lutter contre ces attaques incessantes.

Quand Elastic a uni ses forces à celles d'Endgame, un fournisseur d'EPP, Shay a partagé notre vision d'unifier le SIEM et la sécurité aux points de terminaison pour chaque utilisateur. Cette démocratisation de la sécurité permet à n'importe qui, et pas seulement aux grandes entreprises, de prévenir, détecter et répondre aux menaces avancées. Depuis lors, le regroupement de nos fonctionnalités de sécurité aux points de terminaison en disponibilité générale et d'analyse de sécurité / SIEM dans la même expérience utilisateur a été réalisé. Le XDR est né de cette fusion du SIEM et des solutions de sécurité aux points de terminaison.

Le fait que notre solution soit illimitée rend Elastic unique sur le marché émergent du XDR.

Le X provient de "eXtended"

Une visibilité illimitée

Les solutions XDR issues des produits de sécurité aux points de terminaison sont généralement incapables d'évoluer pour ingérer et conserver le volume et la diversité des sources de données de votre entreprise. En ce qui concerne la résolution des problèmes posés par les données, Elastic, qui utilise notre architecture gratuite et ouverte pour ingérer n'importe quelle source de données, a des années d'avance sur les autres solutions. Nous mappons les données de centaines d'intégrations prédéfinies à Elastic Common Schema (ECS) et notre communauté d'utilisateurs ajoute continuellement de nouvelles extensions. Logstash permet la collecte de données personnalisées de tout type. Elastic Agent est un programme d'installation unique qui prend en charge des centaines d'intégrations et fournit de nouveaux cas d'utilisation en un seul clic.

Des données illimitées

Le temps de détection des utilisateurs malveillants dépasse largement la durée de conservation actuelle de la plupart des systèmes SIEM et XDR. Et même si ces systèmes conservent les données, ils ralentissent généralement considérablement l'analyse. Elastic peut agir sur des données gelées dans un stockage objet, tel qu'Amazon S3, pour des années de recherche, de Threat Intelligence, de tableaux de bord, de rapports, et plus encore. Il suffit de modifier l'intervalle de temps de 2 semaines à 2 ans, et en quelques minutes les résultats sont à portée de main de vos analystes.

Le D provient de "Detection"

Des analyses illimitées

Les menaces évoluent en permanence. Pour les détecter et les arrêter, la défense en profondeur est indispensable. Chez Elastic, de nombreuses couches de détection sont disponibles pour toutes vos données, de la corrélation entre un nombre illimité de sources de données à la Threat Intelligence appliquée à plusieurs années d'informations et aux modèles de Machine Learning qui détectent les anomalies. Notre équipe fournit des centaines de détections mappées à MITRE ATT&CK® et de tâches de Machine Learning pour garantir que vous obteniez de la valeur dès le premier jour. 

Nous avons ouvert le développement de nos détections et nous vous permettons de contacter directement l'équipe et de bénéficier des connaissances de la communauté Elastic. Pour rechercher des progressions d'attaques avancées, l'architecture de notre moteur de détection hiérarchique permet à de nouvelles règles de détection d'analyser les détections antérieures. De nombreuses organisations collectent des données provenant de zones géographiques et de régions différentes ainsi que de divers fournisseurs cloud. Le réacheminement d'informations est coûteux et inefficace. Grâce à la recherche inter-clusters, Elastic peut faire parvenir votre recherche jusqu'aux données, ce qui permet de réaliser toutes ces analyses dans votre environnement multi-cloud sans avoir à transférer les données d'une région ou d'un fournisseur à l'autre.

Le R provient de "Response"

Enfin, les problèmes détectés devront être réglés rapidement. La résolution moderne exige une capacité d'action à l'échelle de l'entreprise, non seulement la possibilité de stopper un processus, mais aussi celle de désactiver un utilisateur, de supprimer un e-mail du serveur ou de bloquer un mauvais domaine au niveau du pare-feu. Les analystes doivent disposer d'un moyen simple et intuitif pour collaborer à une investigation, élaborer un plan de résolution, le lancer et rendre compte de son succès. 

Elastic inclut une gestion des incidents gratuite et ouverte : les utilisateurs bénéficient de la fonctionnalité des incidents pour communiquer et collaborer avec leur équipe. Celle-ci s'est développée pour s'intégrer harmonieusement aux principaux fournisseurs de solutions de résolution tels que ServiceNow ITSM, ServiceNow SecOps, IBM Resilient, JIRA et Swimlane, s'adaptant ainsi au workflow de résolution existant des entreprises de toute taille. De plus, notre fonctionnalité de développement API-first et webhooks permet l'intégration dans tout autre outil de productivité.

Et bien sûr, Elastic Agent fournit un moyen centralisé de coordonner la collecte des données et l'application des stratégies, telles que la mise en quarantaine automatique des fichiers malveillants et le blocage des ransomwares. Pendant la résolution, la gestion d'osquery disponible sur chaque système d'exploitation (Windows, macOS et Linux) permet à nos utilisateurs de recueillir toute information supplémentaire requise dans la procédure à suivre en cas d'incident. Et lorsqu'une attaque est identifiée, une simple fonction d'isolement de l'hôte en un clic sur Windows et macOS empêchera l'utilisateur malveillant de voler ou de détruire des données pendant que vous élaborez le plan d'intervention. La résolution est effectuée derrière le pare-feu en mode utilisateur et le contrôle est mis en œuvre au niveau du noyau pour empêcher toute altération par des utilisateurs malveillants. 

Le A (la lettre cachée) provient de "Automation"

Avec toute cette visibilité supplémentaire, les solutions XDR doivent également contribuer à automatiser le processus d'analyse pour garantir son efficacité sur des sources de données disparates. De nombreuses fonctionnalités se chargent du workflow de l'analyste et de son application à grande échelle :

  • Ingestion des données en un clic : les équipes de sécurité sont constamment invitées à surveiller de nouvelles sources de données provenant de l'entreprise, telles que des infrastructures cloud, des fournisseurs d'authentification SaaS et des produits de sécurité aux points de terminaison. Les analystes doivent consacrer leur temps à trouver de la valeur dans les données, et non à construire des pipelines d'ingestion. Elastic Agent offre un moyen simple et rapide d'ingérer, de normaliser et d'appliquer les données, y compris des tableaux de bord, des modèles, des règles, et plus encore. 
  • Montée en charge des détections dans toutes les sources de données : au-delà de la puissance des types de détections, les utilisateurs doivent également s'assurer de l'approvisionnement constant en détections de qualité, maintenues à jour contre les menaces de demain. L'équipe d'Elastic, en collaboration avec son étonnante communauté activement engagée, maintient à jour cette collection ouverte de règles de détection.
  • Accélération des décisions des analystes : avec l'augmentation du nombre de sources de données et de celui des détections dans ces sources, la charge de travail des analystes est appelée à augmenter. Premièrement, votre solution XDR doit non seulement vous alerter, mais également vous indiquer quelle alerte (ou ensemble d'alertes) doit être examinée en premier. En utilisant le contexte de toutes les sources de données, Elastic évalue le risque des hôtes dans l'environnement pour prioriser les détections en fonction du risque le plus élevé pour l'entreprise. Deuxièmement, l'enrichissement des alertes à l'aide des connaissances tirées des détections antérieures, des incidents et de la Threat Intelligence permet aux analystes de plus facilement déterminer s'il y a lieu de faire remonter une information. Troisièmement, les analystes doivent être guidés dans les étapes ultérieures afin d'obtenir une résolution la plus rapide possible. Elastic fournit des guides d'investigation pour les détections afin d'aider les analystes à comprendre les plus utiles de ces étapes.

XDR est gratuit, ouvert et inégalé chez Elastic

Un usage illimité

La tarification basée sur les ressources vous permet de prendre le contrôle grâce à des licences flexibles. Rien ne doit vous écarter de vos objectifs. Surtout pas des licences rigides. Avec Elastic, quels que soient vos cas d'utilisation, le volume de vos données ou le nombre de vos points de terminaison, vous ne payez que les ressources serveur que vous utilisez. Le résultat est une tarification prévisible et la flexibilité d'adaptation en fonction de vos besoins.

La mission d'Elastic Security est de protéger les données du monde entier contre les attaques. Nous innovons constamment dans le domaine de la protection pour nous assurer que nos utilisateurs partout dans le monde sont protégés contre les attaques de demain. La solution offre des fonctionnalités gratuites et ouvertes du SIEM, d'Endpoint Security et du XDR sur une seule plateforme conçue pour des analyses illimitées, permettant aux organisations de prévenir, de détecter et d'intervenir avant que des dommages ne soient causés.

Si Elastic Security est nouveau pour vous, vous pouvez accéder à la dernière version d'Elasticsearch Service gratuitement sur Elastic Cloud. 


XDR-vision-roadmap.png