Dans un blog précédent, nous avons parlé des avantages liés aux métadonnées formatées par Zeek. Ce blog poursuit sur cette lancée en expliquant pourquoi nos clients s'adressent à nous en tant que solution d'entreprise pour prendre en charge leurs déploiements Zeek.
L'expérience d'un de nos clients gouvernementaux, qui avait initialement choisi de déployer et de maintenir son propre déploiement de Zeek/Bro, en est la meilleure illustration. À l'époque, le raisonnement était raisonnable : Utiliser des ressources internes pour un déploiement unique et à petite échelle, et le maintenir progressivement avec le reste de l'infrastructure tout en apportant une valeur significative à leur équipe de sécurité.
Toutefois, au fil du temps, cette situation est devenue de plus en plus intenable :
- Il était difficile de le maintenir au point. Chaque correctif ou nouvelle version nécessitait que l'administrateur recompile un binaire et le redéploie.
- Il est devenu difficile de le faire évoluer. Bien qu'il s'agisse en partie d'une décision architecturale, les capteurs sont rarement évolutifs par défaut, en particulier ceux qui confient une grande partie de l'analyse et du traitement au capteur. Nous ne voyons pas beaucoup de déploiements qui peuvent même fonctionner à 3 Gbps par capteur. Au fil du temps, les capteurs ont commencé à perdre des paquets. Le client a dû soudainement architecturer des clusters pour prendre en charge le traitement requis.
- Il était extrêmement difficile de gérer des légions de capteurs répartis sur plusieurs sites géographiques, en particulier lorsque les configurations des capteurs étaient hétérogènes. Lorsque les administrateurs qui connaissaient bien le système partaient, une partie essentielle de leur infrastructure de sécurité n'était pas gérée.
Ce compromis sans issue pousse nombre de nos clients à nous demander comment leurs équipes de sécurité pourraient mieux utiliser leur temps. Administrer manuellement les outils (c'est-à-dire se maintenir à flot) de manière autogérée ou être des experts en sécurité et des chasseurs de menaces ? Voici une comparaison entre un scénario autogéré et un déploiement à l'adresse Vectra .
En plus des défis de déploiement partagés par ce client, les exigences opérationnelles quotidiennes telles que la surveillance du système, l'enregistrement du système et même l'authentification frontale représentent une lourde charge. La plupart des clients choisissent de trouver un partenaire capable de simplifier la complexité d'un tel déploiement : Accélérer le temps de déploiement, activer des mises à jour automatiques qui éliminent le besoin de patcher et de maintenir régulièrement, et effectuer une surveillance continue du système.
Il s'agit de capacités par défaut qui vous permettent de vous concentrer sur la mission initiale de votre équipe de sécurité. Réfléchissez à votre architecture et à votre déploiement en matière de capture et d'analyse des données. Nous vous invitons à contacter un représentant de Vectra pour une discussion consultative sur votre déploiement ou les auteurs de cette étude Gartner pour plus de contexte sur ces questions.