siem as a service

Linkbynet  lance officiellement son offre de SIEM as a Service; c’est-à-dire les avantages et la puissance de la solution, en version segmentée. Sous forme de SaaS, en mode “pay as you grow”, dans le Cloud LBN, le SIEM as a Service rend la solution plus accessible et ainsi constitue la solution parfaite pour les entreprises avec un nombre d’événements réduits. 

Un environnement redondant et segmenté

Ayant été noté par Gartner comme l’un des leaders sur le marché des SIEM depuis plusieurs années en plus d’être un partenaire important chez Linkbynet, LogRhythm fut notre premier choix pour développer cette offre.  Au fil du temps, nous avons noté que de plus en plus de clients souhaitent obtenir un SIEM afin de retirer  une certaine intelligence de tous les événements qui sont générés de manière continue par les serveurs.  Bien souvent, particulièrement pour les PME, ces solutions s’avèrent beaucoup trop dispendieuses pour surveiller les journaux de petits environnements qui ne génèrent pas beaucoup de messages par seconde (MPS), on parle habituellement d’environ 500 MPS ou moins.

C’est dans cette optique que nous avons décidé de monter une infrastructure LogRhythm dans notre Cloud et ainsi répondre aux besoins de ce segment de marché. Cette infra répond parfaitement aux standards de sécurité de Linkbynet. Tout y pensé de manière à ce que l’environnement soit hautement redondant et sécurisé pour garantir la tranquillité d’esprit de nos clients. Chaque nouveau client est ajouté dans un silo qui assure que les données soient isolées et accessibles qu’uniquement par le client en question. Il est donc impossible que les données d’un client se retrouvent dans les rapports d’un autre, par exemple.

 

Collecte à distance et relais sécurisé

La solution LogRhythm permet de faire une collecte des journaux à distance. Un moyen de relais sera choisi avec le client. Cette machine pourra ainsi, via Windows Management Installation (WMI), aller collecter les journaux de plusieurs machines afin de les envoyer à l’indexeur qui traite ensuite les données. Ce type de relais peut également collecter les journaux syslog provenant des machines Linux mais aussi d’équipements réseau, comme les routeurs ou les pare-feux par exemple. Outre ceux nommés précédemment, il existe d’autres types de journaux qui devront être collectés en local via un agent puis envoyés vers la solution pour une analyse plus poussée.
Les agents communiquent avec la solution hébergée chez Linkbynet via un canal chiffré. Il est aussi possible de mettre en place un VPN afin d’ajouter une couche de protection supplémentaire. Le client a également accès a l’interface web d’analyse de LogRhythm, qui permet des investigations ponctuelles et offre aussi un ensemble de tableau de bords qui facilitent la surveillance des événements de sécurité.

siem as a service

Exemple de dashboard en SIEM LogRhythm

 

Mise en place et configuration personnalisées

Enfin lors de la mise en service de la solution, Linkbynet établira avec le client l’ensemble des règles de corrélations qui seront à mettre en place selon les besoins. L’expertise de nos techniciens certifiés LogRhythm, alliée à la puissance de la solution SIEM, constitue une réelle valeur ajoutée afin d’établir une liste perspicace en fonction du contexte du client. Nous établirons ainsi une liste de recommandations de règles à activer ou créer tout en réduisant au maximum le “bruit” et les faux positifs.

Ces règles reposent sur le moteur de corrélation avancé de LogRhythm. Celles-ci permettent de mettre en valeur des éléments provenant de plusieurs sources de journaux hétérogènes et de rendre l’information intelligible. Il devient ainsi possible de suivre les actions d’utilisateurs en corrélant l’IP de la machine depuis laquelle il s’est connecté (information provenant de sources réseau) avec son nom d’utilisateur sur une machine (information provenant des journaux Windows). Le tout fera une alerte qui sera relayée jusqu’au client afin d’intervenir rapidement.

La solution permet donc d’inverser la courbe constatée aujourd’hui chez nos clients et ce en permettant aux organisations de réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) à une attaque.

Parce que pour un hacker, une attaque réussie est une attaque qui passe inaperçue, Linkbynet met en oeuvre toute son expertise pour aider nos clients à mettre tous les indicateurs possibles dans le but de détecter ces attaques.

 

Pour plus d’informations sur le SIEM as a Service, contactez nos experts au 1-800-258-0820