Examen et alternatives Exabeam SIEM
je vais partirest une société de cybersécurité récemment lancée, qui entre sur le marché très encombré du SIEM. La stratégie SIEM implique le tri d'un grand nombre de données et Exabeam vise à rendre ses services meilleurs que ceux de la concurrence en excellant dans cette tâche clé.
De nombreuses fonctionnalités d'Exabeam sont égalées par celles de ses concurrents. Cependant, le service inclut certaines fonctionnalités pour lesquelles d'autres producteurs de cybersécurité facturent des frais supplémentaires. Ces fonctionnalités incluent Analyse du comportement des utilisateurs et des entités (UEBA) et Orchestration, automatisation et réponse de la sécurité (SOAR) . Le monde de la cybersécurité a son propre langage et est très friand d’acronymes. Voyons donc ce que SIEM signifie réellement avant d’examiner si Exabeam atteint sa cible.
Le but du SIEM
Les systèmes SIEM ne sont pas destinés à bloquer les logiciels malveillants : c'est une tâche qui incombe aux services de périphérie et aux pare-feu. L’intention derrière la conception SIEM est d’éliminer les attaques de pirates informatiques qui parviennent à contourner les défenses traditionnelles.
Une menace particulièrement importante pour les systèmes informatiques privés des organisations est la Menace persistante avancée (APT) . La découverte des APT s'est produite relativement récemment et a rendu les systèmes SIEM essentiels pour toute entreprise. Les systèmes SIEM existent depuis environ une décennie de plus que les APT. Une APT implique que des pirates piratent les comptes d'utilisateurs. L’utilisation de comptes légitimes rend le pirate informatique difficile à retrouver. Un groupe de pirates informatiques accède à un réseau et nombre d’entre eux utilisent ces installations depuis des années sans être repérés.
Le compte piraté est utilisé pour lancer des processus automatisés, tels que des logiciels malveillants, mais il facilite également la saisie manuelle dans le système à des fins d'exploration. Les pirates sont particulièrement intéressés par les comptes dotés de privilèges d’administrateur, car ils peuvent alors utiliser des commandes et des utilitaires système pour brouiller les pistes et rendre leur présence très difficile à repérer.
SIEM signifie Gestion des informations de sécurité et des événements . Il combine deux stratégies, qui sont Gestion des informations de sécurité (SIM) et Gestion des événements de sécurité (SEM) . Une carte SIM recherche dans les fichiers journaux des signes d'activités suspectes. Chaque action en elle-même peut ne pas sembler inhabituelle et est donc autorisée par les pare-feu et les systèmes anti-malware traditionnels. Cependant, pris ensemble, un groupe d’actions peut indiquer une activité de pirate informatique.
SEM recherche sur le réseau un comportement anormal. Il examine les en-têtes des paquets lors de leur déplacement sur le réseau et enregistre la source et la destination de chaque message. Il examine également d'autres facteurs concernant le passage des paquets, tels que la taille totale d'un flux de paquets et l'emplacement de l'ordinateur impliqué dans la connexion.
Les systèmes SIEM sont également utiles pour lutter contre menaces internes . Un utilisateur autorisé peut se livrer à des activités illicites, soit par ressentiment envers l'entreprise, soit en étant trompé ou manipulé par un usurpateur se faisant passer pour un supérieur ou un collègue.
Qu’est-ce que l’UEBA ?
L'analyse du comportement des utilisateurs et des entités (UEBA) utilise des techniques d'apprentissage automatique tirées du domaine de Intelligence artificielle (IA) . Il vise à résoudre un problème majeur rencontré avec les premiers systèmes de détection d’intrusion : leurs règles marquent les activités légitimes comme suspectes.
Il est très difficile de faire la différence entre un pirate informatique furtif et un utilisateur régulier. UEBA suit toutes les activités de chaque utilisateur ainsi que de tous les utilisateurs ensemble pour établir une base de référence de ce qui constitue un comportement normal sur ce système. Une anomalie est alors définie comme tout ce qui s’écarte de cette norme personnalisée. Cette approche a considérablement réduit l’incidence des rapports faussement positifs.
Qu’est-ce que SOAR ?
Security Orchestration, Automation, and Response (SOAR) est une technique utilisée par systèmes de prévention des intrusions . Il collabore avec d'autres systèmes de sécurité sur un réseau pour obtenir une vue centralisée des menaces. Les deux principaux systèmes associés apportés par SOAR sont la gestion des droits d'accès et les pare-feu.
SOAR orchestre les flux de données automatisés de ces deux sources dans la base de données d'événements SIEM. Il utilise ensuite une liste de workflows d'actions qui seront déclenchés automatiquement une fois qu'une menace est identifiée et ces actions sont mises en œuvre par le gestionnaire de droits d'accès et le pare-feu pour suspendre un compte utilisateur ou bloquer toutes les communications avec une adresse IP spécifique.
À propos d'Exabeam
Exabeam a été créée en 2013 et est basée à Foster City, en Californie. L'entreprise est le fruit de l'idée originale d'un pionnier de la cybersécurité Shlomo Kramer qui était l'un des fondateurs de Check Point et Imperva. Il possède également de grosses participations dans Réseaux Cato et Logique du sumo , entre autres sociétés de cybersécurité et de services informatiques.
Kramer a réuni une équipe de dirigeants de Imperva et Logique du sumo pour créer l'entreprise. Exabeam est une entreprise privée et Kramer n'en est pas l'unique propriétaire : une liste de fonds de capital-risque informatiques clés sont également des investisseurs.
Le premier produit Exabeam était son système UEBA, destiné à être un module complémentaire que les entreprises pouvaient acheter pour améliorer les performances d'un SIEM déjà installé. L'entreprise a étendu ses services pour lancer son propre SIEM en 2017. Le SIEM est présenté comme un plateforme de renseignement de sécurité de nouvelle génération .
Présentation d'Exabeam SIEM
La principale force d’Exabeam réside dans le traitement des données. Ses créateurs le voient comme un processeur Big Data et il est donc fortement orienté vers la partie SIM du SEM. Ses fonctionnalités de surveillance du réseau sont utilisées comme point de collecte de données pour alimenter son moteur de recherche d'événements. Les quatre phases principales de la stratégie Exabeam sont :
- Lac de données Exabeam
- Analyse avancée Exabeam
- Je vais vous expliquer le répondeur en cas d'incident
- Rapports de conformité
Ces services sont expliqués plus en détail ci-dessous.
Le lac de données Exabeam
Dans la terminologie Exabeam, le gestionnaire de fichiers journaux est appelé Data Lake. Il s'agit en réalité d'un consolidateur de journaux, recevant les messages de journal des agents installés sur le système surveillé et les réorganisant à partir de leur présentation native dans un format neutre et commun.
Tous les enregistrements peuvent être recherchés manuellement, ce qui est une fonctionnalité nécessaire pour la conformité aux normes de données, car les auditeurs souhaitent pouvoir effectuer leurs propres recherches ad hoc sur les enregistrements. Le stockage des enregistrements de journaux dans Data Lake demande les informations qui seront stockées dans des fichiers sur le système surveillé. Le service de chasse aux menaces d'Exabeam opérant sur le Data Lake et pas sur les fichiers journaux locaux , les pirates perdent leur temps à modifier les fichiers journaux pour masquer leurs activités.
Alors que la plupart des SIEM incluent un moniteur réseau en direct, dans Exabeam, celui-ci est réduit au statut d'agent de collecte de données.
Analyse avancée Exabeam
Cette fonctionnalité comporte deux composants. L’un est l’UEBA, qui continue d’ajuster la base de référence à des fins de comparaison, et l’autre est un Détection d'une anomalie système.
Les systèmes SIEM fonctionnent sur des modèles de corrélation d'événements. Ils cherchent indicateurs de compromission (IOC) , qui sont une série d'actions qu'un pirate informatique effectue généralement. Ainsi, le moteur d’analyse avancée recherchera dans le Data Lake des événements spécifiques dont il sait qu’ils sont typiques des APT ou des menaces internes.
S'il trouve un compte utilisateur ou une adresse IP impliquée dans l'un des nombreux modèles IOC, il déclenche une alarme. Cette alarme apparaîtra sur le tableau de bord d'Exabeam.
Je vais vous expliquer le répondeur en cas d'incident
L’Incident Responder fait partie de la mise en œuvre SOAR d’Exabeam. Le service de réponse est composé d'une série de règles. Chaque type de menace détectée entraîne une réponse automatisée , ce qui implique généralement la suspension d'un compte utilisateur ou la mise sur liste noire d'un domaine ou d'une adresse IP.
Les réponses automatisées peuvent être personnalisées et certains flux de travail d'action, appelés playbooks, peuvent être suspendus. Le module d'analyse permet également à l'équipe de support informatique d'identifier manuellement les menaces et de prendre des mesures correctives manuelles.
Rapports de conformité
L'une des premières motivations des entreprises à adopter les systèmes SIEM était de se qualifier pour normes de protection des données accréditation. C’était avant que les APT ne soient connues.
Un gros problème avec la conformité en matière de sécurité des données est qu'elle implique beaucoup de documentation et que les informations stockées dans les fichiers journaux sont essentielles aux rapports de conformité. Les auditeurs de conformité souhaitent examiner tous les fichiers journaux stockés par une entreprise pour voir par eux-mêmes si un violation de données s'est produit mais a été dissimulé par l'entreprise. Par conséquent, le stockage des journaux pendant de longues périodes est nécessaire et leurs enregistrements doivent être indexés et consultables. Les systèmes SIEM sont très efficaces pour répondre à ces besoins de gestion des enregistrements de journaux.
Exabeam peut être personnalisé lors de la configuration pour garantir la conformité aux normes suivantes :
- RGPD
- PCI DSS
- HIPAA
- SOX
Tableau de bord Exabeam SIEM
Le tableau de bord Exabeam réside dans le cloud et est donc accessible via n'importe quel navigateur standard.
L'objectif principal d'Exabeam est son système de gestion des journaux, appelé le lac de données . Les utilisateurs ont accès au Data Lake de leur entreprise via un écran de recherche.
Cette installation sera également utilisée par les auditeurs de conformité aux normes lorsqu'ils rechercheront des preuves de fuites de données.
Le Analyse avancée Exabeam La section du tableau de bord explique les problèmes identifiés en croisant le compte utilisateur ou l'adresse IP suspecte avec les données réelles de l'utilisateur ou de la source de connexion. Par exemple, lorsque le système identifie un compte utilisateur susceptible d'avoir été compromis, le tableau de bord Exabeam donne des détails sur cet utilisateur et explique pourquoi l'activité sur le compte est suspecte.
Options de configuration SIEM d'Exabeam
Exabeam est disponible sur le Modèle SaaS sur des serveurs cloud. Les serveurs fournissent également un espace de stockage pour les journaux, qui peuvent éventuellement être sauvegardés sur un système de stockage tiers. La collecte de données pour Exabeam Data Lake nécessite l'installation de programmes d'agent sur le système surveillé. Les entreprises intéressées peuvent tester Exabeam sur un essai gratuit .
Exabeam a conclu des accords avec des sociétés partenaires qui proposent le logiciel Exabeam sur un appareil réseau . Il est également possible d'héberger Exabeam en privé sur un serveur AWS.
Alternatives à Exabeam SIEM
Exabeam est un système de sécurité efficace et complet et ses réponses automatisées feront gagner beaucoup de temps à votre équipe de gestion informatique. Le service est cependant un peu léger sur la partie SEM du SIEM et il ne semble pas avoir beaucoup de surveillance du trafic en direct.
Jeter un coup d'œil à les meilleurs outils SIEM post pour avoir une compréhension approfondie des outils SIEM.
Avant de choisir Exabeam, jetez un œil à quelques autres SIEMS. Voici notre liste des dix meilleures alternatives à Exabeam.
- Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT) Comme Exabeam, cet outil n’est pas très prisé chez SEM, mais il reste un service de sécurité puissant. Le logiciel sur site s'installe sur Windows Server. Accédez à l'essai gratuit de 30 jours.
- Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Très fort sur SIM mais presque pas de SEM, investissez également dans Log360 pour recevoir des alertes de surveillance du réseau. Il s'installe sur Windows et Linux. Démarrez un essai gratuit de 30 jours.
- Surveillance de la sécurité Datadog Il s'agit d'un système SaaS basé sur le cloud qui fait partie d'une suite d'outils de surveillance de l'infrastructure mais peut également être déployé en tant que système autonome.
- Gestionnaire de sécurité McAfee Enterprise Un système de sécurité complet avec l’un des meilleurs flux de renseignements sur les menaces du secteur. S'installe sur Windows et macOS.
- Fortinet FortiSIEM Un système SIEM basé sur le cloud très similaire à Exabeam. Cet outil comprend l'UEBA et la réponse automatisée aux menaces.
- Rapid7 InsightIDR Semblable à Exabeam, ce SIEM est un système SaaS avec UEBA intégré et mécanismes de réponse automatisés.
- OSSEC Il s'agit d'un système de détection d'intrusion gratuit et open source basé sur l'hôte, très performant en matière de gestion et d'analyse des fichiers journaux. Il lui manque complètement un moniteur réseau en direct. Cependant, ce déficit peut être résolu en alimentant un flux provenant d’un outil tiers. S'installe sur Windows, macOS, Linux et Unix.
- IBM QRadar Une plateforme de renseignement de sécurité qui comprend un module SIEM. Il s'agit d'un logiciel sur site qui comprend des analyses de vulnérabilités, un flux de renseignements sur les menaces, une analyse du trafic en direct et des fonctions de gestion des journaux. Il s'installe sur Windows Server.
- AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault Une marque SIEM forte avec un gros budget R&D assuré par AT&T. Il s'installe sur Windows et macOS.