Des opérations de sécurité puissantes, une segmentation puissante

Compte tenu de tous les outils puissants qu'une organisation peut déployer dans le cadre d'un arsenal SecOps efficace, nous nous demandons s'il n'y a pas trop d'une bonne chose.   

Pour améliorer les opérations de sécurité de ces nombreux outils - et les alertes qu'ils génèrent - les SIEM sont ce sur quoi beaucoup d'entre nous comptent pour gérer la sécurité de manière centralisée par le biais d'un "unique pane of glass" comme le dit le cliché. 

Les équipes s'appuient sur leur SIEM pour obtenir des informations sur l'ensemble de leur dispositif de sécurité, et ce pour plusieurs raisons. Tout d'abord, ils identifient rapidement les menaces sérieuses auxquelles l'organisation peut être confrontée. Deuxièmement, il permet de réduire les délais d'enquête pour obtenir le contexte et les détails pertinents sur les attaques. Enfin, il permet aux équipes de réagir plus rapidement grâce à des actions et des flux de travail plus automatisés.   

Dans ce contexte, les fournisseurs doivent offrir une intégration propre avec les SIEM afin de faciliter la vie des équipes de sécurité.  

C'est pour cette raison qu'Illumio a une intégration poussée avec Splunk. Les clients communs comprennent mieux leur position en matière de sécurité et peuvent répondre aux attaques en quelques clics. L'intégration d'Illumio utilise des visualisations intuitives et soigneusement conçues pour que les équipes puissent voir et comprendre ce qui se passe en un coup d'œil et réagir en un clic. Avec Splunk et Illumio, nous permettons aux équipes de savoir quelles machines peuvent être compromises dans le centre de données ou s'il existe une politique de segmentation déficiente. 

Cependant, pouvoir répondre à ces questions importantes n'est que le début des avantages de notre intégration Splunk : 

• Sachez où affecter les précieuses ressources de votre équipe : Les alertes d'événements mettent clairement en évidence les événements de sécurité qui se produisent afin que les équipes sachent quels actifs peuvent être affectés - et où réagir immédiatement. 
• Sachez si la segmentation est sécurisée : Des attaquants expérimentés peuvent tenter de manipuler les pare-feu et les paramètres de segmentation pour accéder aux données. C'est pourquoi nous vous montrons à quel point votre segmentation est sûre en mettant en évidence les tentatives d'altération du pare-feu dans iptables ou Microsoft WFP (Windows Filtering Platform). Cela vous permet de savoir immédiatement si un serveur tente d'obtenir des privilèges illégaux ou de contourner les politiques de sécurité.  
• Voir les tentatives d'attaques en cours : Dans une attaque, le mouvement latéral est souvent précédé de balayages de ports. Bien qu'ils ne soient pas mauvais en soi, les balayages de ports indiquent souvent que quelqu'un effectue une reconnaissance pour voir où il peut se déplacer à l'intérieur de l'entreprise. Notre intégration met en évidence les balayages de ports pour savoir immédiatement s'il y a une activité suspecte indiquant une attaque imminente. 
• Voyez quelles machines agissent de manière suspecte : Notre visualisation claire du trafic le plus bloqué par hôte vous permet de savoir rapidement si un hôte est attaqué. En outre, cette visualisation peut également vous indiquer si la politique de segmentation des hôtes est erronée, ce qui entraîne un blocage inattendu du trafic. 
• Un fil conducteur parfait entre l'entreprise et les services de sécurité : en un coup d'œil, vous serez informé de tout trafic potentiellement bloqué avant de mettre en œuvre des politiques d'application. Cela signifie que vous pouvez facilement confirmer les politiques de segmentation avant la mise en service afin de vous assurer que vous n'interrompez pas l'application commerciale que vous essayez de protéger.   
• Enquêtez rapidement : Lorsque vous étudiez une charge de travail qui présente un comportement anormal, vous devez immédiatement découvrir la nature du problème. Tous les détails de la charge de travail, les événements liés au trafic et les événements liés à l'audit sont rassemblés dans une vue unique, ce qui réduit la quantité de travail d'investigation. 
• Arrêtez les attaques en un clic : Notre intégration offre une visibilité claire de la sécurité dans Splunk, mais elle permet également aux équipes de prendre des mesures. Vous pouvez mettre en quarantaine des charges de travail suspectes directement depuis Splunk en un seul clic.   
• Créez des alertes en quelques clics : Pour créer des alertes, les équipes doivent maîtriser les messages syslog, comprendre leur contenu, ainsi que le contexte, en profondeur, puis créer des expressions régulières. Grâce à une interface graphique qui permet aux utilisateurs de créer de nouvelles configurations d'alerte pour les messages les plus critiques générés par Illumio PCE, les utilisateurs peuvent rapidement tirer parti des alertes de Splunk pour faciliter l'administration de leur déploiement Illumio.  

Nous examinerons de plus près les fonctionnalités de notre intégration Splunk dans un autre article de blog, alors restez à l'écoute. 

Pour commencer à utiliser notre version la plus récente, rendez-vous sur Splunkbase et téléchargez : https://splunkbase.splunk.com/app/3658/.