Selon Wikipédia, le terme « observabilité » provient de la théorie du contrôle, qui mesure à quel point l’état d’un système peut être déterminé à partir de ses sorties.
De même, dans le domaine des logiciels, l’observabilité fait référence à la façon dont nous pouvons comprendre l’état d’un système à partir de la télémétrie obtenue, y compris les métriques, les journaux, les traces et le profilage.

La visibilité et la surveillance actuelles manquent d’intelligence comportementale

La surveillance traditionnelle est généralement employée pour surveiller visuellement et identifier les problèmes liés aux applications, aux réseaux et aux terminaux concernant la performance, la santé, l’expérience de l’utilisateur, la sécurité et la résilience.
Les alertes sont combinées à la surveillance pour notifier rapidement les événements critiques par le biais de courriels, de SMS et de tableaux de bord.
Cette surveillance conventionnelle, utilisée par les APM, les NPM et les SIEM, fonctionne sur des « inconnues connues », où les risques sont connus à l’avance, mais où le moment précis de l’occurrence reste inconnu.
Ce type de surveillance est suffisant pour les systèmes simples comportant un nombre limité d’entités, pour lesquels le dépannage est simple et évident.
Cependant, les systèmes d’entreprise sont devenus plus complexes avec l’avènement d’architectures multiples, telles que les applications distribuées, les déploiements multi-cloud, l’informatique en périphérie (Edge computing) et les applications de collaboration avec de nombreux partenaires.
En outre, la surface d’attaque élargie associée à ces architectures a rendu la surveillance traditionnelle et la corrélation plus simple inadéquates.
Le traitement des  » inconnues connues  » à lui seul est insuffisant.
Les plateformes d’observabilité font un bond en avant en identifiant des risques inattendus qui n’avaient pas été pris en compte auparavant.
Ces plateformes sont conçues pour traiter les « inconnus inconnus » et offrent un dépannage et un débogage plus rapides et plus précis des systèmes en fournissant une visibilité approfondie de leurs performances, de leur santé, de leur sécurité et de leur comportement.
Cet article se concentre sur l’observabilité obtenue de manière optimale grâce aux données recueillies par les composants de réseau et de sécurité SASE (Secure Access Service Edge).
Plus précisément, nous explorons les cas d’utilisation de l’observabilité liés aux anomalies comportementales afin d’identifier les comportements anormaux des utilisateurs, des réseaux, des entités applicatives et de l’accès à l’internet.
Les plateformes d’observabilité dépendent fortement de la qualité des données d’entrée qu’elles reçoivent.
Dans ce contexte, nous examinons comment les solutions SASE offrent des données riches sous la forme de journaux, de mesures et de traces et comment les systèmes d’observabilité peuvent exploiter ces données pour répondre à divers cas d’utilisation.
En exploitant les informations fournies par les solutions SASE, les solutions d’observabilité peuvent renforcer leurs capacités, ce qui permet d’améliorer la surveillance, la détection proactive des risques et l’analyse robuste des systèmes.
La combinaison de SASE et d’observabilité fournit un cadre puissant pour surveiller et sécuriser efficacement les systèmes d’entreprise modernes.

SIEM, NPM, NDR, APM, XDR – La détection des anomalies est limitée

Dans le paysage actuel, de nombreux outils de visibilité et de surveillance sont disponibles, chacun compétent dans ses fonctionnalités respectives.
Cependant, ils présentent certaines limites, principalement en ce qui concerne la détection d’anomalies basée sur le comportement et la corrélation limitée d’événements, qui entravent leur capacité à fournir une visibilité en profondeur et une analyse des causes profondes.
Nous pensons que ces outils devraient à terme englober l’analyse comportementale et l’analyse prédictive, ainsi qu’une visibilité plus approfondie, répondant ainsi aux exigences des systèmes de performance, de sécurité et de résilience.
Pour atteindre l’exhaustivité, l’ajout d’une fonctionnalité d’analyse comportementale de l’utilisateur et de l’entité (UEBA) devient crucial pour ces outils.
En outre, nous sommes convaincus qu’une observabilité réussie nécessite des capacités de corrélation améliorées.
Pour obtenir une meilleure corrélation, il faut des données pertinentes provenant des dispositifs de réseau, des dispositifs de sécurité, des systèmes d’identité et des infrastructures d’application.
Néanmoins, il est difficile d’obtenir ces informations de manière cohérente entre les dispositifs et les systèmes de différents fournisseurs en raison des variations dans le contenu des journaux, les métriques, les schémas et les formats des journaux.
Le plus grand défi est l’incohérence et le manque d’informations nécessaires à une analyse complète.
La SASE unifiée, qui unifie plusieurs fonctions de réseau et de sécurité d’un seul fournisseur dans le cadre d’une architecture cohérente, peut alléger le fardeau de ces outils en ce qui concerne la corrélation et l’analyse comportementale – nous y reviendrons plus en détail dans les sections suivantes.
Approfondissons l’UEBA et explorons le type de journaux et de mesures attendus du plan de données du SASE unifié.

Analyse du comportement des utilisateurs et des entités

Le secteur de la cybersécurité a inventé le terme « User and Entity Behavior Analytics » (UEBA).
Il s’agit de surveiller et d’analyser le comportement des utilisateurs (employés, sous-traitants et partenaires) et des entités (appareils, applications et réseaux) au sein du réseau d’une organisation afin de détecter les activités anormales ou suspectes.
Les solutions UEBA utilisent généralement des techniques d’analyse avancée et d’apprentissage automatique (AI/ML) pour établir une base de comportement normal pour chaque utilisateur et chaque entité.
Une fois la base établie, le système compare en permanence le comportement en temps réel à cette base pour détecter les écarts ou les anomalies qui peuvent indiquer des menaces potentielles pour la sécurité ou des activités anormales.
Il est également important de noter que la base de référence évolue avec le temps, d’où la nécessité de la mettre à jour et d’entraîner en permanence le modèle correspondant.
L’UEBA vise à identifier des modèles ou des comportements inhabituels qui pourraient passer inaperçus par les mesures de sécurité traditionnelles, aidant ainsi les organisations à détecter les menaces internes, les comptes compromis, les accès non autorisés et d’autres activités suspectes.
En analysant les comportements, l’UEBA fournit un contexte et des informations supplémentaires sur les incidents de sécurité potentiels, ce qui permet aux équipes de sécurité de réagir rapidement et efficacement.
Même si l’UEBA est définie dans le contexte de la cybersécurité, la détection des anomalies de comportement n’est pas limitée à la cybersécurité, mais s’applique aux aspects de performance d’entités telles que les applications et les réseaux.
Certains acteurs de l’industrie affirment, et je suis d’accord avec eux, que la réalisation de l’architecture de confiance zéro (ZTA), que ce soit avec les technologies de maillage de services ou de SASE, n’est complète que si elle inclut l’UEBA dans son offre.
Puisque l’UEBA parle d’anomalies, commençons par comprendre le terme « détection d’anomalies », les différents types d’anomalies et les techniques utilisées pour détecter les anomalies.

Détection d’anomalies pour la cybersécurité

Ce billet de blog, Qu’est-ce que la détection d’anomalies ? donne une excellente vue d’ensemble de la détection d’anomalies.
En termes simples, la détection d’anomalies consiste à identifier des points ou des modèles inhabituels dans un ensemble de données.
Tout ce qui s’écarte d’une ligne de base établie dans une tolérance prédéfinie est considéré comme une anomalie.
Si les anomalies peuvent être bénignes et préoccupantes, la détection des anomalies malveillantes est primordiale dans le secteur de la cybersécurité.
La détection non supervisée des anomalies est particulièrement cruciale pour la cybersécurité, car elle permet d’identifier des événements inédits sans s’appuyer sur des connaissances préalables.
En d’autres termes, cette approche non supervisée est essentielle pour détecter les « inconnus inconnus » dans le contexte des menaces de sécurité.
La détection des anomalies peut être abordée à l’aide de différentes techniques, parfois en s’appuyant sur des outils statistiques et d’autres fois en faisant appel à des algorithmes d’apprentissage automatique.
Deux types populaires d’algorithmes d’apprentissage automatique sont utilisés pour la détection d’anomalies :

  • Regroupement : Le regroupement est une technique qui permet de grouper des points de données en fonction de leur similarité ou de leur distance.
    Les anomalies peuvent être identifiées en détectant les points de données qui n’appartiennent à aucune grappe ou qui sont très éloignés du centre de la grappe la plus proche.
    Parmi les exemples d’algorithmes de regroupement, on peut citer K-means.
  • Estimation de la densité : L’estimation de la densité est une technique qui permet d’estimer la distribution de probabilité des données.
    Les anomalies peuvent être détectées à l’aide de l’estimation de la densité en trouvant des points de données ayant une faible densité de probabilité ou résidant dans des régions à faible densité.
    Les algorithmes courants d’estimation de la densité comprennent la forêt d’isolement, l’estimation de la densité de Kernel, etc.

Nous n’aborderons pas ici l’analyse descriptive, car de nombreux systèmes de surveillance la prennent déjà en charge.
Nous nous concentrerons sur l’analyse comportementale, une branche de l’analyse prédictive.
Comme nous l’avons mentionné, la détection d’anomalies est importante pour la cybersécurité, c’est pourquoi nous aborderons ici les détections d’anomalies.
Quelques exemples de détection d’anomalies peuvent aider à comprendre le type d’informations attendues des solutions SASE, en particulier l’analyse du comportement des utilisateurs et des entités (UEBA) et l’observabilité en général.
Dans les sections suivantes, nous présenterons des détections d’anomalies qui sont nécessaires pour la cybersécurité et l’industrie des réseaux.
Comme nous l’avons déjà mentionné, il est également important de disposer d’un système générique de détection d’anomalies doté de multiples fonctionnalités afin d’identifier tout type de détection qui n’est pas connu à l’avance.
Pour identifier les types de détection inconnus, il est important que les journaux d’entrée et les données métriques soient complets. Voici quelques exemples de détection d’anomalies :Anomalies du comportement de l’utilisateur :

  • Utilisateurs accédant à Internet, aux applications SaaS et aux applications d’entreprise à partir d’endroits différents de leurs habitudes.
  • Les utilisateurs accèdent aux services à des heures inhabituelles par rapport à leurs habitudes d’utilisation.
  • Les utilisateurs accèdent à des applications à partir de plusieurs endroits en peu de temps, ce qui semble invraisemblable.
  • Les utilisateurs accèdent aux services par l’intermédiaire de serveurs mandataires anonymes, ce qui pose des problèmes de sécurité.
  • Utilisateurs accédant à des services à partir d’adresses IP suspectes susceptibles d’être associées à des activités malveillantes.
  • Les utilisateurs accèdent à des domaines ou des URL suspects, ce qui indique des menaces potentielles pour la sécurité.
  • Utilisateurs présentant un comportement inhabituel en matière de téléchargement/upload de fichiers, justifiant une attention particulière.
  • Utilisateurs présentant un accès atypique aux applications, aux sites Internet ou aux applications SaaS.

Activité inhabituelle de l’utilisateur :

  • Nombre inhabituel de connexions d’un utilisateur, ce qui pourrait indiquer des informations d’identification compromises ou des tentatives d’accès non autorisées.
  • Nombre inhabituel d’échecs de connexion, suggérant la possibilité d’attaques par force brute ou de problèmes d’authentification.
  • Accès inhabituel à divers URI d’applications pouvant nécessiter un examen plus approfondi.
  • Nombre inhabituel de tunnels VPN d’accès à distance d’un utilisateur donné ou de l’ensemble des utilisateurs.

Anomalies d’accès aux applications :

  • Accès à l’application par des utilisateurs non familiers, nécessitant la vérification de leur légitimité.
  • Accès inhabituel des utilisateurs à différentes sections ou espaces des applications.
  • téléchargements inhabituels de données par les utilisateurs, ce qui peut indiquer une exfiltration de données ou des transferts de données non autorisés.
  • Accès inhabituel à partir d’endroits inédits, ce qui pourrait poser des problèmes de sécurité.
  • Accès inhabituel à des applications à des moments inattendus par des utilisateurs ou des utilisateurs spécifiques, justifiant une enquête.
  • Accès inhabituel de la part de fournisseurs de services Internet, ce qui peut indiquer des activités suspectes.
  • Détection d’en-têtes de requête HTTP inhabituels lors de l’accès aux ressources de l’application.
  • Détection de longueurs d’URI anormales lors de l’accès à des ressources d’application.
  • Utilisation inhabituelle de différents agents utilisateurs pouvant être liés à des intentions malveillantes.
  • Latence inhabituelle des transactions au niveau HTTP.

Anomalies de réseau : Notez que l’Internet est considéré comme un des réseaux.

  • Anomalies dans le volume du trafic entrant, du trafic sortant ou de leurs valeurs combinées pour un réseau donné.
  • Anomalies dans la quantité de trafic pour différents ensembles de protocoles.
  • Anomalies dans le nombre de connexions aux ressources du réseau.
  • Anomalies dans le nombre de transactions vers les ressources du réseau.
  • Anomalies dans le nombre de transactions par connexion.
  • Anomalies dans le temps de latence lors de l’accès aux ressources du réseau.
  • Anomalies dans le trafic entre les réseaux.

Anomalies de la menace :

  • Anomalies dans le nombre de sessions vers des adresses IP suspectes, indiquant des tentatives potentielles de communication avec des entités malveillantes.
  • Anomalies dans le nombre de sessions vers des noms de domaine suspects, qui peuvent signifier un contact avec des domaines non fiables ou compromis.
  • Anomalies dans le nombre de sessions vers des URL suspects, indiquant des menaces potentielles dans le trafic web.
  • Anomalies dans le nombre de téléchargements de fichiers infectés par des logiciels malveillants, mettant en évidence des cyberattaques potentielles.
  • Anomalies dans le nombre de sessions vers des services SaaS et Cloud non autorisés ou malveillants.
  • Anomalies dans le nombre de sessions refusées, indiquant potentiellement des mesures de sécurité à l’œuvre.
  • Anomalies dans le nombre de transactions refusées, suggérant d’éventuelles menaces pour la sécurité ou des activités frauduleuses.

Les plates-formes d’observabilité avec UEBA tendent à fournir les détections susmentionnées.
Un modèle générique de regroupement peut être utilisé pour les risques inconnus afin de détecter toute nouvelle anomalie à surveiller.
Ce modèle générique doit intégrer plusieurs caractéristiques.
Étant donné que la plupart des anomalies énumérées ci-dessus nécessitent des données de base pour les identifier avec précision, il est essentiel que les plateformes d’observabilité permettent un mode d’apprentissage.
Parfois, l’apprentissage peut être dynamique, permettant à la configuration de vérifier les anomalies de la journée en cours sur la base des données des X derniers jours.
Étant donné que plusieurs modèles peuvent être nécessaires, les plateformes d’observabilité doivent être évolutives et capables de gérer la charge nécessaire à la formation et à l’adaptation de plusieurs modèles.

Renseignements sur les menaces avec précision

La détection précise des anomalies liées aux menaces comportementales repose sur des informations actualisées provenant de fournisseurs de renseignements sur les menaces.
Bien que les systèmes SASE effectuent une détection initiale des menaces au moment du trafic, les renseignements sur les menaces recueillis à ce moment-là peuvent devenir obsolètes.
Les fournisseurs de renseignements sur les menaces évaluent en permanence la réputation des adresses IP, des noms de domaine, des URL, des fichiers, des services SaaS et mettent à jour leurs flux avec les informations les plus récentes.
Toutefois, il peut s’écouler un certain temps entre l’apparition de menaces réelles et la mise à jour des flux de renseignements sur les menaces.
Par conséquent, toute connexion ou transaction effectuée avant la mise à jour de ces flux peut entraîner l’absence de classification correcte du trafic dans le plan de données.
Pour relever ce défi, les plateformes d’observabilité basées sur l’UEBA examinent de manière proactive les accès précédents en continu et enrichissent les données avec de nouveaux renseignements sur les menaces.
Ces plateformes informent ensuite les équipes de chasseurs de menaces informatiques des changements dans les renseignements, ce qui permet aux chasseurs de menaces d’approfondir les menaces potentielles.

Unified SASE agrège les logs, les métriques et les traces avec précision.

L’exhaustivité et la précision de toute analyse, qu’elle soit descriptive, prédictive, diagnostique ou prescriptive, dépendent fortement de la qualité des logs reçus par la plateforme d’observabilité.
C’est là que les solutions SASE unifiées excellent vraiment.
Les plateformes d’observabilité traditionnelles dépendent des journaux et des mesures provenant des systèmes de divers fournisseurs, tels que les appliances de pare-feu, les appliances UTM, les applications, les services d’identité, les pare-feu d’application web, les systèmes IDS/IPS, les systèmes de sécurité DNS, et bien plus encore.
Cependant, la gestion des journaux provenant de plusieurs fournisseurs pose plusieurs problèmes :

  • Informations insuffisantes dans les journaux.
  • Différents formats/schémas d’enregistrement.
  • Modifications constantes des messages et du format des journaux par les fournisseurs.
  • Difficulté à établir une corrélation cohérente entre les journaux des dispositifs de réseau/sécurité et des sessions de trafic, des utilisateurs ou des applications spécifiques.
  • Un grand nombre de journaux contenant des informations en double, ce qui conduit à des bombes de journaux et à des chutes de journaux.
  • Puissance de calcul excessive requise pour la corrélation des logs et la gestion du volume élevé de logs.

Les solutions SASE répondent efficacement à ces défis grâce à leur approche intégrée.
SASE combine de multiples fonctions de réseau et de sécurité réseau en un seul service, fourni comme une solution complète.
Toutefois, il est essentiel d’être prudent, car les solutions SASE peuvent être construites de différentes manières.
Les services SASE d’un seul fournisseur, bien qu’ils soient proposés par un seul fournisseur, peuvent être composés d’éléments de sécurité et de réseau distincts provenant de plusieurs fournisseurs.
Par conséquent, les journaux et les mesures de ces solutions SASE d’un seul fournisseur peuvent être confrontés à des défis similaires.
En revanche, les solutions SASE unifiées sont généralement fournies sous la forme d’un plan de données unifié et complet qui adhère aux principes de l’architecture à passage unique et de l’architecture run-to-complete.
Cela signifie que le SASE unifié a une vue globale de chaque session ou transaction et des fonctions de sécurité connexes appliquées.
Par conséquent, les solutions Unified SASE ne génèrent qu’un seul journal pour chaque fichier, transaction ou session, contenant toutes les informations nécessaires.
Par exemple, les journaux d’accès d’Unified SASE comprennent des détails complets tels que :

  • Informations sur 5 triplets (IP source, IP destination, protocole, port source et port destination)
  • Heure de début et heure de fin de la session/transaction
  • Nom de domaine en cas de connexions TLS
  • Valeur de l’en-tête Host et chemin d’accès à l’URL en cas de transactions HTTP
  • Si la connexion est sécurisée ou non (TLS)
  • Méthode HTTP (GET/POST/DELETE/PUT), paramètres de requête URI et en-têtes et valeurs de requête et de réponse HTTP, principalement les en-têtes commençant par X-
  • Hachure du fichier (si plusieurs fichiers sont envoyés lors d’une transaction HTTP, il peut y avoir plusieurs journaux d’accès)
  • Nombre d’octets envoyés du client au serveur et vice versa
  • Les politiques d’accès et de sécurité appliquées, ainsi que les détails des politiques et les valeurs correspondantes de la session de trafic, telles que les réclamations des utilisateurs (nom principal, groupe, rôle, service d’authentification, émetteur), la catégorie et le score de réputation IP, la catégorie et le score de réputation du domaine, la catégorie et le score de réputation de l’URI, la catégorie et le score de réputation du service SaaS, et l’action entreprise.
    Il est important de noter que plusieurs moteurs de sécurité fournissent un consentement pour l’accès à toute session ou transaction.
    Ces moteurs de sécurité englobent le moteur de réputation IP, le moteur de réputation de domaine, le moteur de réputation URL, les moteurs de réputation SaaS, les moteurs de contrôle d’accès, le moteur anti-malware, le moteur IDPS, et bien d’autres encore.
    Chaque moteur de sécurité applique son propre ensemble de règles et prend les mesures appropriées en fonction des résultats.
    En raison de la présence de plusieurs moteurs, chacun ayant sa propre table de politiques et des ensembles uniques de valeurs correspondant au trafic ou aux enrichissements du trafic, il est nécessaire d’enregistrer le nom de la politique correspondante et les paramètres qui ont conduit à la correspondance de la politique.

Les journaux d’accès jouent un rôle essentiel dans les plateformes d’observabilité, permettant des analyses précises.
Cependant, d’autres journaux sont tout aussi importants pour les plateformes d’observabilité, et les solutions « Unified SASE » les proposent d’emblée.
Ces journaux sont essentiels pour améliorer les capacités de la plateforme afin d’obtenir des informations complètes.
Voici quelques-uns des journaux essentiels fournis par les solutions SASE unifiées :

  • Journaux relatifs à la connexion et à la déconnexion des utilisateurs par le biais de sa fonction de courtier en identité.
  • Les journaux relatifs aux échecs de connexion des utilisateurs, qui permettent de surveiller les menaces potentielles pour la sécurité.
  • Journaux relatifs à la connexion de l’utilisateur, enrichis d’informations complètes sur les réclamations de l’utilisateur, notamment
    • Adresse électronique de l’utilisateur
    • Émetteur (fournisseur d’identité)
    • Plusieurs groupes et rôles auxquels l’utilisateur appartient
    • Le service d’authentification qui a authentifié l’utilisateur
    • si l’authentification multifactorielle (MFA) a été appliquée ou non
    • IP source à partir de laquelle l’utilisateur s’est connecté
    • Protocole d’authentification utilisé par l’application utilisateur
    • Lieu à partir duquel l’utilisateur s’est connecté

Les journaux liés à l’authentification des utilisateurs et les journaux d’accès peuvent fournir des données précieuses à la plateforme d’observabilité pour identifier efficacement les anomalies comportementales.
En outre, les solutions SASE unifiées proposent des journaux chaque fois qu’une menace est détectée, comme des logiciels malveillants, des exploits ou des activités suspectes.
Ces journaux contiennent des informations sur cinq couples (IP source, IP destination, protocole, port source, port destination), la date et l’heure, ainsi que des informations sur les réclamations des utilisateurs connus au moment de la détection de la menace.
Cela permet d’établir une corrélation entre la menace et la session ou la transaction au cours de laquelle elle a été observée, ce qui facilite la réponse aux incidents et l’atténuation de leurs effets.
Bien que nous n’en parlions pas ici, de nombreux autres journaux liés au noyau du système SASE, aux processus, aux conteneurs et au matériel contribuent à l’analyse diagnostique.
En plus de générer des journaux, les solutions SASE unifiées fournissent également diverses mesures, y compris des compteurs, des jauges et des histogrammes.
Ces métriques sont inestimables pour identifier les anomalies statistiques et le dépannage en offrant une visibilité sur les différents composants de l’architecture SASE.
Globalement, les différents types de journaux, y compris les journaux d’accès, les journaux liés à l’authentification, les journaux de menaces et les journaux de diagnostic avec les différents types de métriques fournis par Unified SASE, aident les plateformes d’observabilité à fournir non seulement des analyses descriptives et diagnostiques, mais aussi des analyses comportementales/prédictives.

Le SASE unifié et l’observabilité intégrée se rejoignent au niveau de la hanche.

Comme nous l’avons vu jusqu’à présent, Unified SASE se distingue en permettant l’utilisation de divers outils d’analyse grâce à son riche ensemble de données exportées.
Nous reconnaissons également que les solutions SASE unifié engloberont une plateforme d’observabilité complète qui comprendra divers outils d’analyse, notamment des outils d’analyse comportementale, comme nous l’avons décrit précédemment.
Dans un premier temps, les plateformes d’observabilité intégrées étaient principalement limitées aux solutions SASE, l’observabilité de bout en bout reposant souvent sur des services d’observabilité de Splunk, Datadog, Elastic, New Relic et des plateformes XDR de menaces de bout en bout.
Par essence, Unified SASE incorpore sa propre plateforme d’observabilité intégrée tout en fournissant simultanément des journaux et des mesures de haute qualité à divers outils d’observabilité externes.

Le SASE unifié est essentiel pour renforcer les capacités d’observation.

Les outils traditionnels de surveillance et de visibilité sont insuffisants dans les environnements d’entreprise complexes caractérisés par une main-d’œuvre distribuée, des déploiements d’applications multicloud/de pointe, une utilisation intensive de plusieurs services SaaS, un paysage de menaces en constante évolution et des architectures d’applications basées sur des microservices.
La dépendance à l’égard des journaux et des mesures provenant de diverses sources de réseau, de sécurité et d’application entrave souvent la capacité de ces outils à fournir des informations exploitables et des capacités efficaces de corrélation et d’analyse des causes profondes.
La nécessité de l’heure est l' »observabilité ».
De nombreux fournisseurs d’outils d’analyse traditionnels ont commencé à enrichir leurs offres de fonctions d’observabilité telles que l’UEBA et les capacités de détection d’anomalies qui y sont associées.
Toutefois, l’efficacité de ces outils d’analyse dépend fortement de la qualité des journaux et des mesures qu’ils reçoivent.
La SASE unifiée permet de surmonter les difficultés liées à la génération de journaux complets et de haute qualité pour tous les types d’analyse, y compris l’analyse comportementale.
En offrant une approche unifiée et une exportation complète des données, Unified SASE peut améliorer de manière significative les capacités d’observation des organisations, facilitant la détection proactive des menaces, une analyse précise et une meilleure prise de décision.
L’intégration de multiples outils d’analyse et de fonctions d’observabilité au sein d’Unified SASE constitue une solution puissante pour répondre aux complexités des environnements d’entreprise modernes et renforcer les défenses de cybersécurité.

  • Blog CTO Insights

    La série de blogs Aryaka CTO Insights fournit un leadership éclairé sur les thèmes du réseau, de la sécurité et de la SASE.
    Pour les spécifications des produits Aryaka, consultez les fiches techniques d’Aryaka.