Le concept de « Big Data », tel que Gartner le définit, désigne à la fois la très haute volumétrie, la vélocité et /ou la grande variété de tous les actifs liés à l'information et donc aux données.
Il peut y avoir débat pour déterminer si - ou à partir de quand - les messages d’activité constituent un volume assez important en termes de stockage pour être considéré comme du « Big Data », cependant les logs peuvent être certainement qualifiés de véloces et variés.
La question est, après avoir recueilli des millions ou des milliards de logs par jour générés dans mon entreprise, que puis-je en faire ensuite ?
Une approche consiste à analyser les données au repos. Vous stockez tout ce « Big Data » dans un entrepôt de données extensible pour l'analyse et la corrélation. Il existe de nombreuses technologies disponibles pour aider à cela, et la recherche structurée et non structurée peuvent être utilisés. Toutefois, cela s'apparente à chercher une aiguille dans une botte de foin – cela est faisable, mais c'est après l'événement et une énorme quantité de ressources est nécessaire pour gérer cette masse de données, sans oublier une équipe hautement qualifiée pour en tirer de la valeur.
L'approche de LogRhythm est d'analyser les données en mouvement en temps réel. Tout d'abord, nous traitons les logs pour analyser toutes les métadonnées utiles, puis nous envoyons ces métadonnées dans notre moteur d'analyse de la sécurité en temps réel. Cet outil a la capacité d'analyser les flux de grand volume de données (jusqu'à plusieurs dizaines de milliards de logs par jour) en temps réel - d'où le nom de « Big Data » - et peut créer des alarmes et des réponses basées sur cette analyse. Cela s'apparente davantage à analyser chaque paille avec laquelle vous construisez la botte de foin – il est beaucoup plus facile de trouver l’aiguille à ce moment-là.
En fin de compte, c'est la valeur de l'entreprise qui est fourni par la technologie qui compte, et le moteur Security Analytics de LogRhythm est capable de « labourer » à travers plusieurs milliers de logs par seconde, de construire des modèles de comportement, de rechercher les anomalies comportementales et d’assurer la corrélation des logs disparates afin d’avoir une idée générale de ce qui se passe actuellement sur le réseau.
Il peut ensuite envoyer cette intelligence décisionnelle en tant qu’alerte hautement corroborée à l'analyste de la sécurité, au directeur des opérations ou aux membres de la direction de l'entreprise, en leur donnant de l'information sur les quelques événements importants dont ils doivent être informés.
*SIEM : Security Information and Event Management
Il peut y avoir débat pour déterminer si - ou à partir de quand - les messages d’activité constituent un volume assez important en termes de stockage pour être considéré comme du « Big Data », cependant les logs peuvent être certainement qualifiés de véloces et variés.
La question est, après avoir recueilli des millions ou des milliards de logs par jour générés dans mon entreprise, que puis-je en faire ensuite ?
Une approche consiste à analyser les données au repos. Vous stockez tout ce « Big Data » dans un entrepôt de données extensible pour l'analyse et la corrélation. Il existe de nombreuses technologies disponibles pour aider à cela, et la recherche structurée et non structurée peuvent être utilisés. Toutefois, cela s'apparente à chercher une aiguille dans une botte de foin – cela est faisable, mais c'est après l'événement et une énorme quantité de ressources est nécessaire pour gérer cette masse de données, sans oublier une équipe hautement qualifiée pour en tirer de la valeur.
L'approche de LogRhythm est d'analyser les données en mouvement en temps réel. Tout d'abord, nous traitons les logs pour analyser toutes les métadonnées utiles, puis nous envoyons ces métadonnées dans notre moteur d'analyse de la sécurité en temps réel. Cet outil a la capacité d'analyser les flux de grand volume de données (jusqu'à plusieurs dizaines de milliards de logs par jour) en temps réel - d'où le nom de « Big Data » - et peut créer des alarmes et des réponses basées sur cette analyse. Cela s'apparente davantage à analyser chaque paille avec laquelle vous construisez la botte de foin – il est beaucoup plus facile de trouver l’aiguille à ce moment-là.
En fin de compte, c'est la valeur de l'entreprise qui est fourni par la technologie qui compte, et le moteur Security Analytics de LogRhythm est capable de « labourer » à travers plusieurs milliers de logs par seconde, de construire des modèles de comportement, de rechercher les anomalies comportementales et d’assurer la corrélation des logs disparates afin d’avoir une idée générale de ce qui se passe actuellement sur le réseau.
Il peut ensuite envoyer cette intelligence décisionnelle en tant qu’alerte hautement corroborée à l'analyste de la sécurité, au directeur des opérations ou aux membres de la direction de l'entreprise, en leur donnant de l'information sur les quelques événements importants dont ils doivent être informés.
*SIEM : Security Information and Event Management