Cognito Stream fournit des métadonnées réseau à l’échelle de l’entreprise sans la complexité, le réglage constant et les limites de l’open-source Zeek
Vectra, acteur majeur de la détection des cyberattaques réseau et de la réponse aux incidents de sécurité, annonce la disponibilité de Cognito® Stream™, qui délivre des métadonnées réseau à l’échelle de l’entreprise dans un format Zeek enrichit d’informations de sécurité pour permettre aux équipes de détection et aux analystes d’incidents de sécurité de s’appuyer sur les outils logiciels existants. Cognito Stream enrichit les métadonnées avec l’identité de l’hôte afin que les analystes de sécurité puissent enquêter sur les incidents avec une efficacité sans précédent en utilisant le contexte complet des incidents dans les communications réseau entre le Cloud, les datacenters, les périphériques utilisateurs et les objets connectés.
Eric Ogren, analyste sécurité chez 451 Research explique : « Les analystes sécurité ne devraient pas avoir besoin d’être des experts pour mener à bien des investigations sur les menaces. La recherche de données NetFlow, qui manque de détails, ou des données par paquets, qui sont trop complexes et coûteux à stocker, doit être effectuée sur la base de l’adresse IP, qui n’est pas intuitive et nécessite une corrélation supplémentaire avec des journaux DHCP (Dynamic Host Control Protocol) distincts ». « L’une des principales exigences en matière de visibilité réseau, de détection et de réponse aux incidents est d’utiliser l’intelligence pour corréler les données relatives au trafic et présenter des informations utiles aux analystes de la sécurité ».
Cognito Stream fournit un enregistrement de chaque communication réseau à l’échelle de l’entreprise, vers un système de gestion de données ou un système de gestion d’événements de sécurité (SIEM). Cognito Stream enrichit les métadonnées avec l’identité de l’hôte pour éliminer les recherches parallèles dans les journaux DHCP, et cela afin de trouver le périphérique en utilisant une adresse IP à des moments spécifiques et suivre les changements d’adresse IP.
En collectant et en transmettant les métadonnées historiques, plutôt qu’en capturant l’intégralité des paquets, Cognito Stream réduit le stockage requis de plus de 99 % et garantit le respect de la confidentialité des données, telles que définie notamment par le RGPD.
Cognito Stream :
- Délivre des métadonnées réseau exploitables au format Zeek. Cognito Stream fait ressortir des centaines d’attributs de métadonnées du trafic réseau brut et les présente dans un format Zeek compact et facile à comprendre, qui s’appuie sur les outils logiciels existants. Comparé à NetFlow, Cognito Stream fournit les détails dont les analystes ont besoin, et sans la complexité de stockage d’une capture complète de paquets.
- Les données sur la sécurité générées par l’apprentissage machine sont intégrées dans les métadonnées de Cognito Stream pour fournir des éléments pertinents que les analystes de sécurité peuvent combiner avec leur propre expertise individuelle afin de tirer rapidement des conclusions.
- Permet des investigations sur les hôtes, et non pas sur les adresses IP. Cognito Stream associe automatiquement les métadonnées réseau à d’autres attributs pour créer une identité d’hôte unique. L’attribution des utilisateurs permet aux analystes de la sécurité d’enquêter efficacement sur les hôtes indépendamment des changements d’adresse IP et d’analyser les relations entre les groupes d’hôtes.
- “Set and forget”. Cognito Stream s’installe en moins de 30 minutes, ne nécessite aucun réglage de performance ni de maintenance continue, et offre des performances cinq fois supérieures à celles de Zeek avec un seul capteur. En conséquence, les équipes de sécurité peuvent se concentrer sur les enquêtes et éviter les frais de gestion de Zeek.
Rohan Chitradurga, directeur des produits chez Vectra explique : « Cognito Stream fournit des métadonnées riches qui apportent un enrichissement supplémentaire à Zeek tout en assurant une compatibilité totale avec tous les outils Zeek existants« . « Cela répond au besoin d’écarter rapidement et facilement les menaces dans les grandes entreprises sans avoir à gérer l’infrastructure de sondes« .