Le principe du monitoring est déjà connu depuis plus longtemps : des outils surveillent le fonctionnement de l’environnement informatique et signalent tout problème constituant une menace – un disque de stockage saturé, le temps de réponse d’une application qui chute, etc. L’équipe informatique peut alors immédiatement intervenir et proposer une solution.

Mais le monitoring permet de contrôler les composants de l’infrastructure informatique connus de l’équipe. Le problème passe également inaperçu s’il se manifeste sur un élément pour lequel l’outil de monitoring n’a pas reçu d’instructions. Par exemple, si une modification apportée à une application n’est pas prise en compte dans les paramètres de l’outil de monitoring, celui-ci cessera de surveiller les éléments concernés et ne pourra donc pas signaler les incidents potentiels.

Un champ d’action plus large

L’observabilité reprend là où le monitoring traditionnel s’arrête et élargit sensiblement le champ d’action. Un outil d’observabilité surveille l’ensemble de l’environnement informatique et ne passe donc pas à côté des « unknown unknowns », c’est-à-dire les éléments qui n’ont pas pu être anticipés. Les outils d’observabilité usent notamment du Machine Learning.

Chez Formica, nous développons les projets autour de l’Application Performance Monitoring avec Elastic Observability. Nous effectuons alors non seulement un real user monitoring en nous appuyant sur l’expérience des utilisateurs réels, mais aussi un synthetic user monitoring. Dans ce dernier cas, nous simulons l’utilisation de l’environnement de manière automatisée ; l’outil vérifie systématiquement les résultats de la simulation par rapport à la valeur de référence fixée. Cela nous permet de cibler les problèmes potentiels avant même qu’ils n’affectent les utilisateurs réels.

Business et informatique

Travailler avec un outil d’observabilité permet de centraliser les logs tout en collectant les mesures souhaitées, par exemple sur l’utilisation du CPU, la disponibilité du stockage, etc. Une grande différence avec le monitoring classique est que l’observabilité permet également de capturer des données commerciales. La combinaison des données relatives à l’infrastructure informatique et à l’entreprise offre de nouvelles perspectives, surtout lorsqu’elles sont regroupées dans des tableaux de bord pratiques et intuitifs.

L’étape suivante consiste à réassocier les alertes à ces tableaux de bord. Le résultat : une solution qui – entre autres grâce au Machine Learning – permet de détecter des anomalies qui seraient sans doute restées inaperçues ou n’auraient été révélées qu’à un stade ultérieur. Un autre avantage est qu’Elastic Observability prévoit aussi un auto-monitoring. L’outil vérifie ainsi tout seul s’il fonctionne de manière parfaitement optimale. Ce contrôle supplémentaire permet d’éviter un faux sentiment de sécurité, un phénomène de « pas de nouvelles, bonne nouvelle » – alors qu’en fait, l’outil ne fonctionne tout simplement pas correctement.

Une prise en charge totale

Elastic est un produit open source. Toute personne souhaitant se familiariser avec le potentiel de l’observabilité peut commencer par utiliser gratuitement les fonctionnalités de base de l’outil. Les fonctionnalités plus avancées requièrent quant à elles l’acquisition d’une licence. Les services d’Elk Factory comprennent l’accompagnement des clients dans la sélection, l’installation, la configuration et la prise en main de l’outil. Nous garantissons donc une prise en charge totale de A à Z.

Vous voulez en savoir plus sur ce que l’observabilité peut apporter à votre organisation ? Contactez-nous !

La notification Observabilité : prenons la température de l’ensemble de votre environnement informatique est d'abord apparue sur Elk Factory.

Ça y est, après une attente insoutenable pour Elk Factory, nous y sommes enfin. Elastic est reconnue pour sa solution Elastic Security, ses innovations visionnaires et le développement rapide de sa feuille de route à la stratégie solide.

Elastic est en tête de file du Forrester Wave pour les plateformes de sécurité analytique au quatrième trimestre 2022, et se distingue notamment par sa grande flexibilité et ses capacités de visualisation inégalées au sein d’une solution ouverte. Elastic sort du lot en combinant système SIEM, sécurité du cloud et XDR de manière transparente au sein d’une même plateforme universelle, et permet aux équipes de cybersécurité de répondre aux attaques ou d’être prévenues plus rapidement et plus efficacement.

Une nouvelle preuve qu’Elastic Security est un incontournable en tant que plateforme capable de soutenir des politiques de cybersécurité complètes dans votre entreprise.

Vous avez des questions ? N’hésitez pas à nous contacter pour obtenir plus d’infos ou une démo.

La notification Elastic chef de file de Forrester Wave™ : Security Analytics Platforms est d'abord apparue sur Elk Factory.

De nos jours, un support puissant de sécurité cloud est absolument indispensable, notamment en raison d’une cyberguerre organisée et de piratages informatiques toujours plus nombreux. Les entreprises se tournent de plus en plus vers le cloud, s’exposant ainsi davantage aux cyberattaques. L’introduction d’Elastic Defend permet d’intégrer encore plus facilement la protection du cloud dans des environnements tels que les machines virtuelles (instances ec2 et Kubernetes). Chez Elk Factory, nous recommandons d’utiliser Elastic Security à la fois pour la protection conventionnelle des endpoints et la protection du cloud, afin que la gestion et le monitoring de votre déploiement fonctionnent en parfaite synergie. Elastic Fleet Integration est ici essentielle pour la rationalisation.

La flexibilité et la polyvalence : les meilleurs atouts d’Elastic Security. Elastic 8.5 ne fait pas exception et affine encore les capacités de configuration des endpoints dans leurs environnements spécifiques. Il permet également de définir si un endpoint doit être géré avec seulement un Antivirus de nouvelle génération, un Essential EDR ou un Complete EDR.

Prévisualisation des règles et scores de risques

C’est avec grand enthousiasme que nous utilisons la nouvelle fonction de prévisualisation des règles. Cette fonctionnalité nous permet de tester nos propres règles et ainsi d’optimiser le temps nécessaire à l’ajout d’un jeu de règles à un endpoint. La fonctionnalité Elastic Risk Score est donc l’outil idéal pour améliorer l’aperçu de notre environnement.

Avant, les règles de détection exigeaient d’être modifiées une par une, une perte de temps énorme si elles étaient nombreuses à corriger et une véritable frustration lorsque ces modifications ne généraient que peu de résultats. Elastic 8.5 permet de modifier massivement les règles dans Elastic Security : un pas de géant vers une plus grande efficacité.

Elastic Machine Learning

Elastic SIEM facilite la vie d’un analyste de la sécurité. Pour créer un flux de travail aussi productif que possible, il est primordial de se débarrasser des tâches monotones ou répétitives. L’apprentissage automatique d’Elastic s’en occupe, et soulage ainsi les analystes de sécurité qui ont alors plus de temps pour s’occuper de missions essentielles. Les options comprennent la détection de processus inhabituels par environnement ou les scores de risque associés aux hôtes et aux utilisateurs.

La touche finale d’Elastic Security 8.5 est une toute nouvelle fonction, l’aperçu de session. L’aperçu de session affiche chaque commande utilisée et si elle a bien été exécutée.

Elastic Observability 8.5 permet d’auto-instrumenter les applications .NET existantes. Pour de nombreuses entreprises et organisations, il s’agit d’une excellente manière de parer le disturb tracing de leurs applications .NET, et d’obtenir un aperçu complet de leur écosystème d’applications .NET. Les applications fonctionnant dans des conteneurs, IIS ou les services Windows et Linux n’exigent alors plus de recompilation des binaires.

Enfin, l’innovation sans fin qu’apportent Elastic et sa communauté sont source d’un grand enthousiasme chez Elk Factory. C’est la raison pour laquelle nous gardons la sortie de leurs nouvelles versions bien à l’œil. Alors n’hésitez pas à nous suivre sur Linkedin pour rester au courant des dernières mises à jour !

La notification Nouvelles fonctionnalités d’Elastic 8.5 est d'abord apparue sur Elk Factory.

Dans ces tests, nous utilisons Elastic Security endpoint protection pour endiguer l’attaque ainsi que les outils de diagnostic pour repérer la cause de l’infection. Nous exploitons ensuite le projet GitHub de John Hammond pour simuler l’infection sur notre appareil Windows 11 avec une protection d’endpoints Elastic. Ce projet GitHub nous permet de créer le document Word infecté et de l’envoyer via un appareil Kali Linux attaquant à notre appareil Windows 11.

La plupart du temps, ces documents sont diffusés massivement par e-mail afin d’atteindre le plus grand nombre possible de victimes, rapidement et sans effort.

Infection de l’ordinateur

La première étape consiste à télécharger le document Follina infecté sur notre ordinateur cible.

La notification Zero-Day exploit Follina – Microsoft Office est d'abord apparue sur Elk Factory.

Utilisation des logs pour Elastic security

Sitecore a proposé une illustration plus large de ses cas d’utilisation autour du monitoring des logs au travers de l’utilisation d’Elastic Security. La démonstration a permis de montrer que – outre les fonctionnalités spécifiques à Elastic Security – l’ensemble de l’Elastic Stack contribue à faire passer la configuration de cybersécurité pour les applications au niveau supérieur.

Voici cet aperçu des raisons pour lesquelles Elastic est un incontournable d’une configuration de sécurité.

Liste des avantages Elastic par rapport aux autres solutions de sécurité.

1. Des alertes en temps réel.
2. Des résultats de recherche instantanés avec Elasticsearch.
3. Distribution automatisée des problèmes aux agents ou au personnel.
4. ILM pour répartir les données en plusieurs catégories (hot/warm/cold/frozen) afin que les anciens logs puissent être retrouvés rapidement et à moindre coût.
5. Elastic watcher, qui vous notifie lorsqu’une source de logs cesse de fonctionner. En surveillant le débit des logs et en fixant un seuil afin d’en réduire le nombre à traiter, Elastic watcher envoie une alerte à un administrateur ou transmet un problème à la partie responsable.
6. Elastic SIEM permet d’utiliser non seulement les règles de détection prédéfinies, mais aussi de créer des règles plus complexes, adaptées à leur cas d’utilisation spécifique.
7. Fleet simplifie les configurations et représente un gain de temps conséquent.
8. Un autre avantage : l’analyste ne doit pas constamment surveiller le système. Le système de surveillance est automatisé et proactif, et l’intervention du personnel se cantonne à des activités plus complexes.

Synthetic _source

Sitecore a également proposé une démonstration d’utilisation de synthetic _source pour réduire la taille du script

« Instead of storing source documents on disk exactly as you send them, Elasticsearch can reconstruct source content on the fly upon retrieval. Enable this by setting mode: synthetic in _source: While this on-the-fly reconstruction is generally slower than saving the source documents verbatim and loading them at query time, it saves a lot of storage space. »

Cette fonctionnalité n’est encore disponible qu’en « Technical Preview » mais elle est incluse dans Elastic 8.5

Meet-ups Elastic

Les meet-ups Elastic de la communauté Elastic en Belgique sont toujours extraordinaires ; cette année, nous étions invités chez Sitecore. L’équilibre parfait entre divertissement et information est systématiquement atteint.
La présentation de Sitecore a démontré l’interconnectivité et la polyvalence de l’Elastic Stack dans des applications réelles.

Après la présentation, la communauté a eu la chance de découvrir un premier aperçu de la dernière version 8.5 d’Elastic ! Cette version améliore la fonction de source synthétique introduite dans la version 8.4.

Le grand potentiel de cette fonctionnalité n’était déjà plus à prouver dans la version actuelle, car elle réduit considérablement le volume de stockage. Dans la version 8.5, cette fonctionnalité prend en charge davantage de types de données, y compris celles des versions futures.

Une fonction innovante à surveiller de près !

C’est toujours avec la même grande impatience que nous attendons le prochain meet-up, une nouvelle occasion de réseauter et de s’inspirer de la manière dont nos collègues se servent d’Elastic, ainsi que pour en découvrir les dernières innovations.

Et bien sûr, ces soirées doivent aussi leur réussite aux délicieuses pizzas

La notification Meet-up Elastic – Cas d’utilisation Elastic security est d'abord apparue sur Elk Factory.