Log360 de ManageEngine a été évoqué dans le rapport GigaOm Radar sur la gestion automatisée des opérations de sécurité (ASOM), publié en octobre 2022 et rédigé par Logan Andrew Green. Le rapport du cabinet d’études comprend une analyse des solutions proposées par certains des principaux fournisseurs du marché et met en avant Log360 comme “Challenger” dans le secteur de l’ASOM.
Log360 est une solution SIEM de ManageEngine avec des fonctionnalités DLP et CASB intégrées. Elle aide à détecter, prioriser, enquêter et répondre aux menaces de sécurité. Elle combine des techniques de renseignement sur les menaces, de détection des anomalies par apprentissage automatique et de détection des attaques par règles, et offre une console de gestion des incidents pour remédier efficacement aux menaces détectées.
Rapport GigaOm radar : une nouvelle catégorie intégrée
GigaOm estime que dans le contexte actuel d’évolution rapide des menaces, il est important d’intégrer les solutions de gestion des informations et des événements de sécurité (SIEM) aux outils d’orchestration, d’automatisation et de réponse de sécurité (SOAR) afin d’aider les analystes à gérer les menaces plus efficacement. Cette nouvelle catégorie intégrée a été définie par GigaOm comme la gestion automatisée des opérations de sécurité (ASOM).
Le rapport évalue les fournisseurs présentés en fonction des critères suivants :
- Les conclusions de deux rapports précédents de GigaOm : “Critères clés pour l’évaluation de la gestion des événements de sécurité et d’information” et “Critères clés pour l’évaluation de la réponse d’orchestration et d’automatisation de la sécurité“.
- Les fonctionnalités de la solution.
- L’étendue de l’intégration SIEM et SOAR de la solution.
Après l’évaluation, les fournisseurs sont positionnés dans un graphique visuel. Le positionnement indique si le fournisseur est un acteur de la plateforme ou un acteur des fonctionnalités, et s’il s’agit d’une organisation mature ou innovante. Les paramètres ci-dessus se combinent pour donner une image des performances et d’exécution d’un fournisseur, de sa future feuille de route, de sa capacité à innover, de son approche, de sa force au sein de l’écosystème, etc. Ces mesures contribuent à leur tour à définir les quatre aspects du graphique radar : maturité et innovation, fonctionnalités et plateforme.
Log360, la solution SIEM de ManageEngine, est placée sur le radar en tant que “Challenger” et “Fast Mover” ; elle progresse également vers le centre axé sur les leaders. De plus, elle est placée du côté “Platform Play” du graphique, ce qui indique qu’elle fournit un produit SIEM/SOAR intégré. Sur l’axe vertical, qui compare la maturité à l’innovation, la solution de ManageEngine est placée du côté de l’innovation.
Qualifiant la gamme de produits ManageEngine de l’une des meilleures solutions SIEM, le rapport souligne les points forts suivants de Log360 :
- Segmentation du marché
- Fonctions SIEM de gestion des journaux et de la conformité
- Intégration SIEM-SOAR
- Développements liés au ML
Segmentation du marché
Log360 a élargi son champ d’action à différentes catégories de marché, telles que les petites et moyennes entreprises (PME), les grandes entreprises, les industries réglementées, les fournisseurs de services de sécurité gérés (MSSP) et les fournisseurs de services réseau. Log360 a un marché concentré aux États-Unis, s’implante dans les pays européens et étend son marché aux pays du Moyen-Orient et à l’Inde. La prestigieuse clientèle de ManageEngine comprend eBay, IBM, Toshiba, L&T Infotech, et Cisco, parmi beaucoup d’autres, couvrant différents secteurs.
Fonctions SIEM : Gestion des journaux et de la conformité
Log360 de ManageEngine possède certaines des meilleures fonctionnalités SIEM du marché. Il peut collecter des données provenant de plus de 750 sources, notamment des serveurs, des applications, des postes de travail, des scanners de vulnérabilité, des environnements virtuels, des bases de données, des solutions de menaces et des infrastructures en cloud, puis les analyser pour détecter les menaces de sécurité. Grâce à cela, les analystes de sécurité peuvent trier les menaces, les analyser et les marquer comme des incidents, et y remédier rapidement grâce à des fonctionnalités de workflow automatique. Log360 offre des capacités de détection des menaces basées sur les règles, et l’apprentissage automatique grâce à son moteur de corrélation en temps réel, à l’adoption du cadre de modélisation des menaces MITRE ATT&CK et au module UEBA, respectivement.
Le moteur de corrélation de Log360 est doté de règles prédéfinies pour détecter les menaces et les attaques connues, telles que les attaques par force brute, les différentes sortes de ransomware, etc. Ce moteur est intégré au module de réponse pour l’exécution automatique du workflow afin de contenir les attaques. Le moteur de corrélation fournit également aux utilisateurs une chronologie détaillée des incidents pour faciliter l’analyse de l’impact post-attaques. En outre, la solution adopte le cadre de modélisation des menaces MITRE ATT&CK pour détecter les différentes tactiques et techniques utilisées par les adversaires. Les techniques peuvent être corrélées pour retracer le schéma complet de l’attaque à différents stades, et des actions détaillées peuvent être mises en place pour arrêter la propagation de l’attaque. Log360 est également capable de générer des rapports d’audit informatique conformément aux exigences des différentes normes d’audit telles que SOX, HIPAA, GLBA, FISMA et PCI DSS et de générer des rapports personnalisés pour d’autres exigences de conformité.
Intégration SIEM-SOAR
L’intégration SIEM-SOAR est l’une des combinaisons les plus recherchées par les entreprises aujourd’hui. Les solutions intégrées SIEM-SOAR permettent à un utilisateur de gérer toutes les activités SIEM, de générer les rapports requis et d’orchestrer les actions de réponse défensive aux menaces. En outre, elles permettent l’automatisation de toute action préventive à prendre contre ces menaces. Les analystes des centres d’opérations de sécurité (SOC) peuvent gérer les incidents en utilisant l’intégration avec les systèmes de billetterie et peuvent les attribuer aux bons administrateurs dès que l’alerte est déclenchée. Log360 fournit un tableau de bord complet de gestion des incidents qui aide les analystes à mesurer les performances de leurs SOC et à les optimiser. Le tableau de bord des incidents fournit des mesures clés telles que le temps moyen de détection (MTTD), le temps moyen de résolution (MTTR) et les incidents en retard ou non traités. Log360 peut être intégré à des logiciels de help desk comme ServiceDesk Plus de ManageEngine , Jira Service Desk, Zendesk, ServiceNow, etc.
Développements liés au ML
L’apprentissage automatique (ML) et l’intelligence artificielle (AI) sont en train de devenir le moteur de toute solution technologique, faisant des solutions de sécurité basées sur le ML et l’AI le besoin de l’heure. Log360 de ManageEngine intègre avec succès le ML et l’AI dans ses capacités. Grâce aux flux de menaces provenant de divers fournisseurs d’analyse des menaces, Log360 est capable de détecter rapidement les menaces. Les innovations en matière de ML dans les solutions SIEM ont conduit à une détection avancée de l’UEBA ou des anomalies : Le processus de détection de toute activité anormale effectuée par un utilisateur ou une entité au sein du réseau. Les données des sources de logs sont collectées, et les modèles d’algorithmes ML étudient les données pour développer une base de référence pour un utilisateur ou une entité particulière. Par exemple, une connexion ou une déconnexion à une heure inhabituelle déclencherait une anomalie, alertant l’analyste. De même, toute suppression anormale de fichier peut être détectée et donner lieu à une alerte. L’UEBA peut être encore améliorée par une analyse de la saisonnalité et des groupes de pairs afin de rendre la détection des menaces plus précise.
Rapport GigaOm radar : Point de vue d’un analyste
Le rapport de GigaOm souligne que les solutions ASOM constituent la demande actuelle du secteur, car elles offrent aux analystes un outil complet prêt à l’emploi pour gérer la plupart des activités de sécurité. Cependant, il suggère également que les solutions ASOM sont très complexes et que de nombreuses entreprises recherchent des solutions SIEM abordables avec des capacités SOAR et UEBA. Bien que les offres SIEM-as-a-service ou SIEM gérées soient utiles, elles peuvent manquer de connaissances techniques et de compréhension culturelle du client.
L’automatisation et les solutions basées sur l’IA offrent une solution plus durable. Les solutions basées sur l’IA ont la capacité de détecter les menaces par elles-mêmes. GigaOm décrit Log360 de ManageEngine comme une plateforme robuste capable de prendre en charge un éventail de fonctionnalités et de capacités, mais aussi de fournir des solutions de sécurité abordables avec intervention de l’IA et du ML aux petites et grandes entreprises de tous les secteurs.
Source : ManageEngine Log360 named in GigaOm radar report on automated security operations management (ASOM) – by Vamsi Krishna Sanapala
