Les entreprises dépendent de leurs analystes en sécurité pour détecter, investiguer et répondre à tout incident de sécurité, mais elles ne leur fournissent pas toujours les outils adaptés pour mener à bien leur mission. Elles se concentrent trop sur la mise à disposition d’outils mais pas assez sur les moyens de relever leurs défis opérationnels.
En d’autres termes, une meilleure détection des menaces, une meilleure investigation et une meilleure réponse ne doivent pas compromettre l’expérience opérationnelle de l’analyste. Les plateformes d’opérations de sécurité doivent être évolutives et suivre leur propre développement. Sinon, les équipes SOC commenceront à perdre le contrôle de l’environnement IT/sécurité.
Table of Contents
Avec cette promesse d'offrir une meilleure expérience aux analystes et plus de contrôle sur les opérations de sécurité, nous avons publié plusieurs mises à jour dans Logpoint au cours des derniers mois. Les utilisateurs peuvent s'attendre à des améliorations en termes de convivialité, de performances, de contrôle d'accès, d'automatisation et de stockage des logs.
La convivialité comme outil de contrôle
Si la convivialité en soi n’est pas synonyme de plus de contrôle, elle permet néanmoins de mieux contrôler un outil. Par conséquent, nous veillons à ce que les ingénieurs SIEM gagnent du temps, évitent les problèmes et reprennent le contrôle de la configuration des sources de log via les connecteurs Syslog.
Dans cette mise à jour, ils ont accès à plus de 50 modèles de source de log préremplis pour Syslog, et bien d'autres à venir. Les ingénieurs peuvent facilement créer des configurations personnalisées grâce à cette prise en charge des sources de log Syslog déjà modélisées.
Cette capacité est d'une extrême importance pour les ingénieurs et les MSSP, car la configuration ne doit être effectuée qu'une seule fois et peut être réutilisée ensuite ailleurs. Grâce à ce système basé sur des modèles, les ingénieurs réduiront le temps passé à intégrer les hôtes et obtiendront plus de contrôle lorsqu'ils distribueront ces modèles à d'autres systèmes Logpoint.
Les améliorations apportées à la configuration des sources de log ne s'arrêtent pas là. En mettant à jour notre outil de récupération API URAF, les ingénieurs SIEM peuvent configurer de manière transparente les sources de log (API RESTful) tout en répondant aux exigences personnalisées spécifiques des applications, telles que la pagination et la gestion ultérieure des demandes.
Contrôle de l'interface avec le mode sombre
Engagés à améliorer la convivialité, nous permettons également de basculer entre les modes sombre et clair. Avec une interface plus conviviale, le mode sombre offre une meilleure lisibilité et accessibilité, en particulier pour les tâches qui nécessitent une concentration approfondie sur l'écran, comme les investigations d’incidents.
En un clic, les utilisateurs peuvent basculer entre les modes clair et sombre. Comme pour tout dans la vie, tout est une question de préférences. Pour ceux qui travaillent tard le soir et qui ont besoin d’une interface avec une lumière moins intense et un contraste élevé, le mode sombre de Logpoint est la solution qu’il vous faut.
Contrôler le résultat des requêtes lancées sur un grand volume de logs
La facilité d'utilisation et les flux Smart UX permettent à l'utilisateur de garder une bonne vue d’ensemble de sa plateforme et d'attendre le résultat de ses actions qui y sont effectuées.
Cependant, la convivialité en tant qu’outil de contrôle ne peut être pleinement efficace sans une amélioration des performances. C'est pourquoi nous veillons à ce que les analystes puissent contrôler les requêtes qu'ils exécutent, même s'ils tentent de récupérer d’importants volumes de logs.
Désormais, ils peuvent effectuer des requêtes de type Distinct_count() pour améliorer les cas d'usage en matière de sécurité, effectuer des audits ou mener des investigations approfondies sans se soucier des temps d’arrêt ni avoir d'impact sur le pipeline d'analyse. Nous avons réduit de façon exponentielle la pression de calcul requise pour effectuer une requête de type Distinct_count() afin que les analystes reprennent le contrôle des résultats.
À son tour, le temps passé par la requête pour s’exécuter en arrière-plan a été réduit de plusieurs heures, et les temps d’arrêt, à quelques secondes seulement. Quel est concrètement l’impact ? Moins le temps et la pression de calcul sont alloués à l'exécution des requêtes, moins le système utilise de ressources, maximisant ainsi son efficacité.
Plus de contrôle pour travailler dans des environnements multitenant
Pour les administrateurs système travaillant dans des MSSP ou bien dans de grandes entreprises avec plusieurs entités, le contrôle sur ce que les groupes peuvent afficher ou sur qui peut apporter des modifications aux sources de log est primordial. Désormais, ils peuvent facilement mettre en œuvre de meilleures mesures de sécurité et de confidentialité en ajoutant une autorisation d'objet aux sources de log à partir de la fonctionnalité Log Source.
De plus, nous avons permis aux administrateurs système de suivre plus facilement toutes les activités et de détecter tous les problèmes système entre les entités afin de les résoudre plus rapidement. La dernière mise à jour de Director est accompagnée d'un tableau de bord de surveillance centralisé de divers systèmes et mesures de performances au cours des dernières 24h. Grâce à ces données disponibles en un seul coup d'œil, les administrateurs peuvent toujours découvrir les problèmes et agir de manière proactive pour traiter les causes à l’origine de ces derniers.
Un meilleur contrôle de l'accès s'étend au déploiement SaaS, en particulier pour les administrateurs SOC qui doivent gérer l'accès de plusieurs analystes au niveau d’entités multiples. Avec le lancement de Logpoint Portal pour la gestion centralisée des accès, les analystes peuvent utiliser l'authentification centrale pour accéder à plusieurs entités sans se connecter, ni se déconnecter. Cette capacité simplifie non seulement le travail des administrateurs SOC puisqu’ils n’ont pas besoin de créer des comptes utilisateur pour chaque analyste, dans chaque entité, mais cela réduit également le risque d’accès accidentel et de manquement en matière de conformité.
Ne perdez jamais le contrôle de votre automatisation
Même si les analystes laissent l'automatisation prendre le contrôle de la plupart de vos tâches d'investigation et de réponse, il est important de comprendre ce qui se passe en cas d'échec d'un playbook. En utilisant le fil d'Ariane, les experts en réponse aux incidents peuvent lire et exécuter des actions via des sous-playbooks et revenir au point pertinent du playbook parent. De plus, l’onglet de surveillance dispose désormais d’une vue priorisée, permettant ainsi aux analystes de voir l’état des sous-playbooks et d’avoir plus de contrôle sur ce qui s’y passe : identifier et résoudre les problèmes dans les sous-playbooks n’a jamais été aussi simple.
Cette mise à jour s'accompagne également d'une sauvegarde chiffrée des identifiants du produit, afin que les analystes évitent de perdre le contrôle lorsqu'ils restaurent une intégration. De plus, nous avons amélioré la navigation vers le contenu d'un package nouvellement importé. Tout cela est associé à une visualisation persistante des playbooks et des graphiques intégrés aux cas, de sorte que même si l'utilisateur s'éloigne ou se déconnecte, la visualisation perdure.
Chez Logpoint, nous sommes désireux de continuer à nous améliorer et à innover pour rendre la cybersécurité accessible aux entreprises, que ce soit par la facilité d'utilisation ou par la maximisation du potentiel de nos solutions pour répondre à des cas d'usage spécifiques.
Si vous souhaitez en savoir plus sur ces versions, vous pouvez toujours contacter notre équipe, qui se fera un plaisir de vous guider pour accéder et déployer cette mise à jour.
