Anciennement connu sous le nom Stealthwatch, Secure Network Analytics revient dans une version remaniée. (Crédit Cisco)
Outre sa plus grande capacité, la plateforme Secure Network Analytics (SNA) de Cisco prend en charge plus de flux de données et génère des alertes de sécurité plus détaillées.
La dernière version 7.4.2 du logiciel Secure Network Analytics (SNA) dévoilée par Cisco permet de suivre un plus grand nombre de flux de données et d'agir plus rapidement sur les alertes de sécurité pertinentes. Parmi les améliorations apportées par le logiciel d'analyse de la sécurité, le fournisseur met en avant la possibilité de collecter, de traiter et de stocker des données de manière plus efficace, des capacités de détection avancées, une meilleure prise en charge de la télémétrie et la possibilité de fonctionner sur le matériel UCS M6 haute performance du fournisseur. Selon un billet de blog de Jay Bethea, responsable du marketing des produits au sein du groupe de messagerie sécurisée de Cisco, le logiciel d'analyse du réseau exploite les données de télémétrie provenant de sources multiples et fournit des informations sur le comportement du réseau afin d'identifier les risques de manière proactive et d'aider les entreprises à détecter et à répondre aux menaces de sécurité.
La version 7.4.2 de SNA est particulièrement évolutive et performante. « Le logiciel traite facilement 3 millions de flux par seconde et améliore de 94 % les performances en matière de rapports et de requêtes », a déclaré Crystal Storar, directrice de la gestion des produits chez Cisco Security. Selon l'équipementier, « c'est plus du double de la version précédente ». SNA 7.4.2 enrichit les capacités de stockage centralisé des données apparues pour la première fois dans la version 7.3 du logiciel. À la différence de la version précédente où les données de télémétrie étaient stockées sur des collecteurs de flux Flow Collectors individuels et distribués (le système de surveillance qui recueille les paquets de trafic de données du réseau), le système de stockage est centralisé, une base de données centrale traitant désormais les flux provenant de ces appareils. Cisco affirme que, « grâce à ce stockage centralisé des données, le système peut traiter de grandes quantités de données très rapidement, ce qui signifie que les requêtes de Cisco Analytics peuvent être traitées plus rapidement que si les données étaient stockées sur des collecteurs de flux Flow Collectors individuels ». Toujours selon le fournisseur, ce logiciel permet également de conserver les données des collecteurs de flux pendant des périodes d'un an ou plus, ce qui améliore la détection des tendances et l'analyse historique.
Détection des flux réseau AWS et Azure
Parmi les autres caractéristiques importantes de SNA 7.4, la firme de San José cite les options de livraison sur site, la prise en charge étendue de la télémétrie et les améliorations apportées à son moteur de détection des menaces. « SNA 7.4 intègre les nouvelles détections cartographiées par Mitre, la modélisation des entités et la classification automatique basée sur les rôles de notre modèle de livraison 'cloud-first' dans les versions logicielles sur site », a déclaré Mme Storar. Secure Network Analytics s'enrichit aussi de nouvelles sources de données pour alimenter ses résultats en matière de détection et de réponse réseau : c'est le cas des journaux de flux AWS et Azure qui couvrent l'infrastructure de cloud public ; des journaux de Secure Client Network Visibility qui couvrent les terminaux et les travailleurs distants; et des journaux de Next Generation Firewall qui offrent une vue plus approfondie sur le trafic réseau », a encore déclaré Mme Storar.
L'architecture SNA est telle qu'elle rend possible l'ingestion évolutive de la télémétrie. « Elle prend actuellement en charge la télémétrie NetFlow, NVM, FTD et du pare-feu ASA et prendra en charge d'autres types de télémétrie à l'avenir », a déclaré le fournisseur. En particulier, Cisco et d'autres cherchent à développer et à implémenter le système OpenTelemetry, un ensemble d'outils, d'API et de SDK utilisés pour instrumenter, générer, collecter et exporter des données de télémétrie afin d'analyser les performances et le comportement des logiciels. OpenTelemetry est développé dans le cadre de la Cloud Native Foundation par des contributeurs d'AWS, Azure, Cisco, F5, Google Cloud et VMware, entre autres. Selon Crystal Storar de Cisco Security, OpenTelemetry est « à l'étude en vue de son introduction dans une prochaine version ». L'équipementier prend déjà en charge OpenTelemetry dans sa Full-Stack Observability Platform, qui sert à collecter et à corréler les données provenant des applications, du réseau, de l'infrastructure, de la sécurité et du cloud afin de fournir une vue claire de ce qui se passe dans l'entreprise et repérer plus facilement les anomalies, anticiper et résoudre les problèmes de performance et améliorer l'atténuation des menaces.
S'intégrer aux solutions du marché
Selon un blog de Claudio Lener, chef de produit pour Cisco Secure Analytics, « le logiciel SNA prend également en charge un moteur de détection des menaces plus efficace. De plus, les informations de la base de données centralisée sont utilisées pour créer des alertes fiables et pertinentes. « Par rapport aux premières alarmes SNA, celles-ci sont beaucoup plus discrètes et plus en phase avec ce qui se passe en temps réel, en fournissant un contexte basé sur le réseau et des analyses comportementales avancées », a écrit M. Lener. En d'autres termes, SNA crée une base de référence instantanée, apprend quel comportement est considéré comme « normal » au fil du temps et ne déclenche une alerte que si un utilisateur oublie de suivre une tendance. « Par ailleurs, SNA s'intègre désormais à la dernière appliance matérielle M6, ce qui permet d'améliorer les taux d'ingestion du Flow Collector, d'accélérer les requêtes de recherche de flux et d'augmenter globalement le débit des capteurs de flux », a encore écrit M. Lener.
Autre question essentielle pour les entreprises clientes, celle de la prise en charge des produits tiers par le système. « Nous disposons d'un vaste écosystème de partenaires prêts à aider à la mise en oeuvre, à l'intégration et à la gestion de la solution pour le compte de nos clients », a déclaré Mme Storar. « Nous collaborons avec beaucoup de partenaires techniques qui servent à la fois de fournisseurs de sources de données - comme Baracuda, Checkpoint, Gigamon, IXIA, Palo Alto, TripWire et d'autres - et de destinataires pour nos résultats, de façon à ce qu'ils s'intègrent de manière transparente dans les flux de travail existants de nos clients. Splunk, QRadar, ArcSight, ServiceNow et bien d'autres font partie de ces destinataires notables », a ajouté Mme Storar.
Renforcer OpenTelemetry
Dans un récent rapport de Forrester Research sur l'analyse et la visibilité du réseau offerts par divers systèmes, dont SNA 7.4, le cabinet d'études a déclaré : « L'écosystème Cisco fournit une quantité impressionnante de données télémétriques sur tous les aspects du réseau, depuis les utilisateurs finaux jusqu'au cloud et partout entre les deux, à condition que l'entreprise soit une boutique Cisco importante. Secure Network Analytics (SNA) est un puissant outil de chasse aux menaces qui fournit des informations complètes sur l'activité du réseau grâce aux communications enregistrées et aux enregistrements dédupliqués. Son interface conviviale permet d'accéder rapidement aux informations essentielles pour améliorer la réponse aux incidents et les opérations de sécurité du réseau ». SNA 7.4.2 est disponible et peut être déployé sur des machines virtuelles, comme VMware et KVM, ou sur des appliances Cisco UCS dédiées.
Suivez-nous