Nouveautés

Elastic SIEM, application gratuite et ouverte pour les analystes en sécurité du monde entier

La solution Elastic SIEM mentionnée dans cet article est désormais désignée par Elastic Security. La solution Elastic Security est plus complète car elle propose une fonction SIEM, la sécurité des points de terminaison, la recherche de menaces, le monitoring du cloud et bien plus encore. Si vous recherchez des informations précises sur le traitement des cas d'utilisation SIEM avec Elastic Security, consultez notre page sur la gestion de l'information et des événements de sécurité.

Le moins qu'on puisse dire, c'est que la tâche des équipes de sécurité n'est pas simple ! Celles-ci doivent protéger des surfaces d'attaque qui, jour après jour, deviennent de plus en plus vastes et de plus en plus distribuées, notamment en raison de l'explosion du télétravail et de la croissance de l'infrastructure cloud. Pour réussir, ces équipes savent qu'elles doivent intégrer une technologie appropriée dans leur programme d'opérations de sécurité. Même si les solutions de gestion de l'information et des événements de sécurité (SIEM) sont conçues pour aider les analystes à détecter et à répondre aux potentielles menaces de sécurité, la plupart d'entre elles viennent à un moment ou un autre bloquer le travail des analystes en raison de leurs limitations.

En temps normal, il n'est pas chose aisée de protéger votre entreprise des cybermenaces. Et malheureusement, on ne peut pas dire que la situation s'améliore lorsque les temps deviennent plus difficiles. C'est même le contraire. Les menaces deviennent plus "fourbes". Les événements régionaux, nationaux ou internationaux, comme les élections, les grandes manifestations sportives, voire même une crise sanitaire mondiale, ajoutent un niveau de difficulté supplémentaire dans la lutte contre les menaces. De même, la démocratisation générale du télétravail entraîne son propre lot de risques, avec des collaborateurs qui opèrent depuis des environnements non sécurisés, sur des équipements personnels ou reconvertis, et qui suivent des processus n'ayant pas toujours été revus ou testés de façon rigoureuse.

Elastic SIEM, qu'est-ce que c'est ?

Elastic SIEM est une application gratuite et ouverte qui offre de nombreux avantages aux équipes de sécurité : visibilité, recherche de menaces, détection automatisée et workflows du centre d'opérations de sécurité (SOC). Elastic SIEM fait partie de la distribution par défaut de la plus grande plateforme de logging, la Suite Elastic (ELK). Celle-ci est accompagnée de règles de détection prêtes à l'emploi, alignées sur le framework MITRE ATT&CK™, pour déceler les menaces cachées qui sont rarement repérées par d'autres outils. Créées, gérées et maintenues à jour par les experts en sécurité Elastic, ces règles détectent automatiquement les activités malveillantes les plus récentes afin d'y mettre fin. Les règles de détection génèrent des scores de gravité et de risque qu'elles associent aux signes détectés, ce qui permet aux analystes de catégoriser rapidement les menaces, puis de se concentrer sur les tâches présentant le plus de risques. Vous voulez déployer une solution SIEM et en retirer les bénéfices dès aujourd'hui ? Nous avons ce qu'il vous faut.

Elastic SIEM présente de nombreux avantages. S'appuyant sur la vitesse et la scalabilité d'Elasticsearch pour sa plateforme de recherche sous-jacente, elle permet aux analystes d'être véritablement efficaces avec :

  • une page d'aperçu qui présente l'état du SOC et le niveau de sécurité ;
  • des tableaux de bord pour rechercher les menaces et avoir une bonne connaissance de la situation ; 
  • l'intégration à Elastic Maps, Elastic Lens et autres éléments de Kibana ;
  • un moteur de détection qui permet une détection automatisée des menaces ; 
  • un module unique d'analyse de la chronologie avec des modèles utilisables par les analystes.

Les entreprises exploitent ces capacités pour mettre fin aux angles morts et équiper les analystes comme il faut. Le but : réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR). 

Pourquoi l'application SIEM est-elle gratuite ?

La mission d'Elastic, c'est d'aider les entreprises à renforcer leur niveau de sécurité en éliminant les angles morts et en équipant leurs analystes des produits et workflows dont ils ont besoin pour protéger les données et l'infrastructure. Avec l'adoption générale de la Suite Elastic par la communauté spécialisée dans la sécurité pour lutter contre les menaces, détecter les fraudes et assurer le monitoring de la sécurité, nous voulions faciliter encore le déploiement de nos produits de sécurité. Nous avons tout d'abord collaboré avec notre communauté pour mettre au point Elastic Common Schema (ECS), une spécification qui simplifie la normalisation des données issues de différentes sources (p. ex. réseau, technologies hôtes, infrastructure cloud, applications). En juin 2019, nous avons lancé Elastic SIEM, la seule application gratuite et ouverte du secteur accompagnée de règles de détection SIEM activement gérées. 

Nous avons présenté les dernières capacités d'Elastic SIEM à des dizaines de visiteurs lors de la conférence RSA 2020. Après chaque démo, on nous demandait généralement quel était le coût de la licence. Nous étions très heureux de pouvoir répondre que tout ce que nous venions de montrer était gratuit et ouvert. Les réactions ne se faisaient pas attendre : "Attendez, vous parlez de la version d'essai ?" "Non, cette application est gratuite à vie." "Sérieusement ?" "Oui".

Prise en main et déploiement à l'échelle gratuit

L'aspect "gratuit et ouvert" est peut-être une nouveauté dans l'univers des solutions SIEM. Mais ce n'est pas le cas pour Elastic. Pendant des années, des entreprises ont monté leurs projets d'analyse de la sécurité en s'appuyant sur la Suite Elastic pour la recherche de menaces et la capacité SIEM. Pas de limites en matière d'échelle. Pas de limites au niveau des preuves de faisabilité. Pas de coût de licence à débourser. Et le tout, en évitant les casse-tête auxquels les entreprises sont généralement confrontées lorsqu'il s'agit d'évaluer un nouveau logiciel. Que demander de plus ? Pour Elastic SIEM, nous avons gardé le même principe. Vous pouvez télécharger l'application pour l'exécuter sur site, dans un environnement virtuel ou conteneurisé, ou encore sur votre cloud ou dans le nôtre.

Tarification en fonction des ressources pour les extensions commerciales

L'application Elastic SIEM gratuite et ouverte fournit une base solide pour les opérations du SOC. Vous pouvez l'utiliser autant que vous le souhaitez, à l'échelle que vous désirez. Si vous souhaitez en revanche passer au niveau supérieur, Elastic propose des extensions commerciales pour Elastic SIEM, qui comprennent l'intégration d'une détection des anomalies basée sur Machine Learning, des notifications en cas d'alerte, ainsi que l'intégration à des plateformes tierces de gestion des incidents/tickets, à des systèmes de réponse aux incidents et à des plateformes SOAR.

En général, les prestataires SIEM appliquent une facturation en fonction du taux d'ingestion des données, tel que le nombre moyen d'événements par seconde (EPS) ou le volume indexé journalier (DIV). Ce modèle de licence présente de nombreux inconvénients. Premièrement, au niveau financier, il décourage les entreprises de collecter et d'ingérer des données dont elles pourraient pourtant avoir besoin pour détecter les menaces de manière plus efficace. Deuxièmement, il met les entreprises dans une situation où certaines données de sécurité sont "laissées pour compte" ou envoyées vers un autre emplacement de stockage où des processus spéciaux doivent être invoqués si l'entreprise veut étudier ces données. Troisièmement, il entraîne une situation d'imprévisibilité et d'inconfort au niveau budgétaire pour les entreprises qui projettent d'ingérer plus de données.

À l'inverse, avec notre tarification en fonction des ressources, la facturation ne se fait pas par rapport au taux d'ingestion des données, ni par rapport au nombre d'utilisateurs. À la place, vous ne payez que ce que vous utilisez en matière de ressources pour vos opérations de sécurité. Vous choisissez la quantité de données que vous voulez ingérer, la durée pendant laquelle les données sont conservées, ainsi que le type de workflows de sécurité à appliquer sur ces données.

Pourquoi l'application SIEM est-elle ouverte ?

Commençons par clarifier ce que nous entendons par "ouverte". Cette notion d'ouverture va au-delà de l'open source ou du code ouvert, qui sont deux concepts qui ont révolutionné les approches en matière de SIEM. Elle s'applique également à notre communauté, notre roadmap, notre modèle de données et notre approche en matière de détection. C'est ce qui fait notre force aux yeux des utilisateurs.

Une communauté ouverte

D'après ce que nous ont dit nos utilisateurs, ce qu'ils apprécient chez Elastic, c'est la communauté, tant au niveau culturel que technologique. Si vous avez des questions, vous pouvez compter sur la communauté Elastic pour vous aider. En ce qui concerne la capacité SIEM, les membres de notre équipe répondent quotidiennement aux questions des utilisateurs sur le forum de discussion SIEM et sur notre canal Slack #siem public, entre autres. 

La communauté joue un rôle essentiel dans la cybersécurité. La sécurité ne dépend pas que d'un seul outil ou d'un seul individu. Elle repose plutôt sur la façon dont les équipes collaborent pour protéger les données sensibles et les infrastructures contre les menaces, et ce, peu importe leur situation géographique, et peu importe l'ensemble de données qu'elles utilisent ou la pratique à respecter. Avec Elastic SIEM, Elastic nourrit activement cette communauté spécialisée dans la sécurité, par l'intermédiaire de nos produits, de nos partenariats, de nos sponsors, de nos formations ou encore des recherches stupéfiantes menées à bien par la communauté Elastic elle-même.

Pendant des années, de nombreuses entreprises se sont servies d'Elastic comme plateforme d'analyse de la sécurité ou comme solution SIEM "maison". Par exemple, SANS, leader dans la formation et la certification en matière de sécurité, utilise depuis longtemps Elasticsearch comme plateforme de formation SIEM, ainsi que bien d'autres outils et programmes de formation tirant parti d'Elastic pour la recherche de menaces (notamment internes) et la détection de fraudes.

Une roadmap ouverte

Autre aspect intéressant des pratiques de développement ouvert que nous avons adoptées : une roadmap ouverte avec un système de suivi des incidents. Que vous cherchiez à savoir sur quoi nous travaillons actuellement ou que vous traquiez une requête d'amélioration spécifique, peu importe. Faites un petit saut sur la page consacrée aux problèmes GitHub publics, commencez à vous instruire, votez sur des thèmes, ou créez de nouveaux sujets. Vous découvrirez nos intentions sur la direction à prendre dans le futur et vous verrez nos ingénieurs œuvrer pour faire le tri et obtenir plus d'informations sur vos idées. Nous acceptons aussi les contributions. N'hésitez pas à ajouter votre pierre à l'édifice ! C'est aussi comme ça que nous avançons.

Un modèle de données ouvert

Dans la Suite Elastic, chaque information que vous ajoutez n'est "qu'un autre index" parmi d'autres dans notre modèle de données ouvert. Les données sont stockées au format JSON (pas de formats propriétaires). Nous documentons clairement nos hypothèses de schéma dans ECS, qui est une spécification extensible sur laquelle la communauté peut intervenir. Cela signifie qu'elle est ouverte à tous les fournisseurs. Oui, tous. 

Elastic SIEM inclut des fonctions de recherche, pour que vous puissiez voir les requêtes réelles utilisées par l'application. Nos règles SIEM sont publiées et intégralement documentées, pour que vous puissiez voir et comprendre la logique de détection appliquée (pas de boîte noire ici). Même nos tâches de détection des anomalies basées sur Machine Learning sont consultables. Vous pouvez les copier et les modifier pour créer vos propres tâches personnalisées. Vous voulez ajouter une autre source de données à SIEM ? Aucun problème. Nous ne limiterons jamais votre capacité à gérer vos données : ce sont les vôtres et c'est vous qui les contrôlez.

Jugez-en par vous-même

Envie d'essayer Elastic SIEM ? Testez Elastic SIEM sur Elasticsearch Service sur Elastic Cloud ou regardez une démo d'Elastic SIEM. Vous avez déjà des données formatées pour ECS dans Elasticsearch ? Il vous suffit de passer à la version 7.6 de la Suite Elastic pour optimiser le fonctionnement de votre SOC.

Et si vous voulez voir Elastic Security en action, participez virtuellement à un événement Elastic{ON}.