Des opérations de sécurité puissantes, une segmentation puissante

Compte tenu de tous les outils puissants qu'une organisation peut déployer dans le cadre d'un arsenal SecOps efficace, nous nous demandons s'il n'y a pas trop de bonnes choses.

Pour améliorer opérations de sécurité Parmi ces nombreux outils (et les alertes qu'ils génèrent), nombre d'entre nous comptent sur les SIEM pour gérer la sécurité de manière centralisée via un « écran unique », comme le dit le cliché.

Les équipes s'appuient sur leur SIEM pour obtenir des informations sur l'ensemble de leur posture de sécurité pour plusieurs raisons principales. Tout d'abord, ils identifient rapidement les menaces graves auxquelles l'organisation peut être confrontée. Deuxièmement, cela permet de réduire les délais d'enquête pour obtenir le contexte et les détails pertinents sur les attaques. Enfin, il permet aux équipes de réagir plus rapidement grâce à des actions et des flux de travail plus automatisés.

Dans ces conditions, les fournisseurs doivent proposer une intégration claire avec les SIEM afin de faciliter la vie des équipes de sécurité.

C'est pourquoi Illumio est profondément intégré à Splunk. Les clients communs comprennent mieux leur position en matière de sécurité et peuvent répondre aux attaques en quelques clics. L'intégration Illumio utilise des visualisations intuitives et soigneusement conçues afin que les équipes puissent voir et comprendre ce qui se passe en un coup d'œil et réagir en un clic. Avec Splunk et Illumio, nous indiquons aux équipes quelles machines peuvent être compromises dans le centre de données ou si la politique de segmentation est déficiente.

Cependant, le fait de pouvoir répondre à ces questions importantes n'est que le début des avantages de notre intégration avec Splunk :

• Sachez où placer les précieuses ressources de votre équipe : Les alertes d'événements mettent clairement en évidence les événements de sécurité qui se produisent afin que les équipes sachent quels actifs peuvent être affectés et où réagir immédiatement.
• Sachez si la segmentation est sécurisée : Des attaquants expérimentés peuvent tenter de modifier les pare-feux et les paramètres de segmentation pour accéder aux données. C'est pourquoi nous vous montrons à quel point votre segmentation est sécurisée en mettant en évidence les tentatives d'altération du pare-feu dans iptables ou Microsoft WFP (Windows Filtering Platform). Cela vous indique immédiatement si un serveur tente d'obtenir des privilèges illégaux ou de contourner les politiques de sécurité.
• Consultez les tentatives d'attaques en cours : Lors d'une attaque, le mouvement latéral est souvent précédé de scans des ports. Bien qu'ils ne soient pas mauvais en soi, les scans des ports indiquent souvent que quelqu'un effectue une reconnaissance pour voir où il peut se déplacer à l'intérieur. Notre intégration met en évidence les scans de ports pour savoir immédiatement en cas d'activité suspecte indiquant une attaque imminente.
• Découvrez quelles machines agissent de manière suspecte : Notre visualisation claire du trafic le plus bloqué par hôte vous permet de savoir rapidement si un hôte est attaqué. En outre, cette visualisation peut également vous indiquer si la politique de segmentation des hôtes est incorrecte, ce qui entraîne un blocage inattendu du trafic.
• Faites le lien parfait entre les entreprises et les entreprises : En un coup d'œil, vous serez au courant de tout potentiellement a bloqué le trafic avant de faire appliquer les politiques. Cela signifie que vous pourrez facilement confirmer les politiques de segmentation avant la mise en service afin de vous assurer de ne pas endommager l'application métier que vous essayez de protéger.
• Enquêtez rapidement : Lorsque vous étudiez une charge de travail présentant un comportement anormal, vous devez immédiatement découvrir quel est le problème. Tous les détails de la charge de travail, les événements de trafic et les événements d'audit sont regroupés dans une seule vue, ce qui réduit la charge de travail d'investigation.
• Bloquez les attaques en un clic : Notre intégration offre une visibilité précise sur la sécurité dans Splunk, mais elle permet également aux équipes de prendre des mesures. Vous pouvez mettre en quarantaine les charges de travail suspectes provenant directement de Splunk en un seul clic.
• Créez des alertes en quelques clics : Pour créer des alertes, les équipes doivent maîtriser les messages Syslog, comprendre en profondeur leur contenu et leur contexte, puis créer des expressions régulières. Grâce à une interface graphique qui permet aux utilisateurs de créer de nouvelles configurations d'alerte pour les messages les plus critiques générés par Illumio PCE, les utilisateurs peuvent rapidement tirer parti des alertes de Splunk pour les aider à administrer leur déploiement Illumio.

Nous examinerons de plus près les fonctionnalités de notre intégration à Splunk dans un autre article de blog, alors restez sereins.

Pour commencer à utiliser notre version la plus récente, rendez-vous sur Splunkbase et téléchargez : https://splunkbase.splunk.com/app/3658/.