Corelight assure l’agrégation des données afin de réduire l’ingestion des données SIEM de 50 à 80 % par rapport aux outils traditionnels de surveillance de la sécurité des réseaux.
Selon Forrester Research , « Comment réduire nos coûts d’ingestion SIEM ? » est l’une des questions les plus fréquemment posées par les clients.
De nombreuses organisations de sécurité s’appuient sur les SIEM pour leurs flux de travail de détection, d’investigation et de réponse, en ingérant des informations et des événements de sécurité critiques pour détecter et répondre aux menaces .
Cependant, le volume important de journaux “logs” (y compris les journaux des terminaux, des identités, des applications cloud, des e-mails et du réseau) ingérés, traités et stockés dans le SIEM peut entraîner des coûts élevés.
Corelight introduit l’agrégation de données dans ses capteurs , permettant aux organisations de réduire considérablement le volume des journaux réseau envoyés à leurs SIEM tout en préservant les informations de sécurité critiques. En réduisant le volume des journaux réseau de 50 à 80 %, l’agrégation de données réduit non seulement les coûts opérationnels, mais également l’ensemble de données, ce qui se traduit par des recherches et une chasse aux menaces plus rapides et plus efficaces .
Qu’est-ce que l’agrégation de données ?
L’agrégation de données résume divers journaux réseau tout en conservant des informations de sécurité critiques.
Les journaux réseau similaires (tels que conn, DNS, HTTP, SSL, files et weird) générés au cours d’une période donnée sont regroupés et résumés via des opérations logiques telles que des sommes, des unions ou des valeurs initiales ou finales.
L’agrégation de données envoie des résumés de journaux aux solutions SIEM, ce qui réduit l’ingestion SIEM et par conséquent, contribue à réduire les coûts SIEM, un problème majeur pour les responsables de la sécurité.
La valeur des journaux réseau
Les journaux réseau fournissent des enregistrements détaillés du trafic réseau, notamment des connexions, des applications et des protocoles sur le réseau. Cependant, les journaux réseau produisent de gros volumes de données car :
- Les réseaux gèrent de grandes quantités de trafic de données
- Les journaux réseau capturent des informations détaillées sur les événements
- Les réseaux sont constitués de divers périphériques produisant des journaux (par exemple, des routeurs, des commutateurs, des pare-feu et des serveurs)
- Les périphériques réseau exécutent diverses opérations qui génèrent constamment des journaux
Certaines organisations peuvent choisir de filtrer les journaux réseau pour réduire le volume et résoudre les problèmes de coût ou de performance liés à l’ingestion des journaux réseau dans un SIEM.
Cependant, un filtrage correct prend souvent du temps et risque de perdre des données importantes.
Pourtant, les journaux réseau sont nécessaires pour détecter les activités malveillantes.
Ils peuvent auditer des activités telles que les connexions et déconnexions des utilisateurs, les adresses IP source et de destination et les protocoles.
Les journaux réseau peuvent également aider à identifier les mouvements latéraux et à détecter les erreurs de protocole.
Associés à des données de journaux de sécurité supplémentaires telles que les points de terminaison (endpoints) ou les e-mails, les journaux aident à relier les preuves d’actions malveillantes et à établir des chronologies des menaces au sein de votre organisation.
La valeur de l’agrégation de données
L’agrégation de données permet de résoudre le problème du volume excessif de journaux réseau grâce à :
- La réduction des coûts SIEM
L’agrégation peut réduire le volume de 50 à 80 % sans sacrifier la garantie de sécurité.
Au lieu de filtrer les journaux répétitifs, l’agrégation de données résume ces journaux pour condenser les données réseau envoyées au SIEM.
Les clients du programme d’accès anticipé Corelight ont constaté une consolidation moyenne des journaux de 7:1. - L’Accélération de la recherche des menaces et des enquêtes
Les résumés des journaux réseau issus de l’agrégation de données améliorent l’efficacité opérationnelle, accélérant ainsi la recherche des menaces et les enquêtes.
La réduction de la charge du processeur grâce à un nombre réduit de journaux améliore la précision de la détection et accélère les requêtes.
Les clients Corelight peuvent bénéficier d’une mise en correspondance rétrospective des informations sur les menaces plus rapide et d’une recherche rétrospective jusqu’à 5 fois plus longue pour les analyses médico-légales, et constater une amélioration globale de leur capacité à rechercher et à enquêter sur les menaces.
La plateforme ouverte NDR Corelight
Corelight transforme l’activité réseau et cloud en preuves que les équipes de sécurité utilisent pour rechercher proactivement les menaces, accélérer la réponse aux incidents, obtenir une visibilité complète du réseau et créer des analyses puissantes.
La plateforme Corelight Open NDR combine des détections réseau dynamiques, l’IA , la détection d’intrusion (IDS), la surveillance de la sécurité réseau (NSM), la capture de paquets (PCAP) et l’analyse de fichiers dans un seul outil de sécurité alimenté par des technologies propriétaires et open source telles que Zeek, Suricata et YARA.
L’ajout de l’agrégation de données à la plateforme Corelight Open NDR avec YARA permet aux équipes de sécurité de réaliser une réduction importante des journaux réseau sans sacrifier la garantie de sécurité, qui les aide à rechercher et à enquêter sur les menaces omniprésentes dans leurs environnements sans entraîner de coûts importants pour leurs SIEM.
Pour en savoir plus sur les capteurs, lisez la fiche technique .
Source : CoreLight
Pour plus d’informations concernant les solutions
