Centralisation de la visualisation, des alertes et des rapports sur les menaces WAF avancées BIG-IP avec Azure Sentinel
La demande en applications professionnelles et grand public ne montre aucun signe de ralentissement et a entraîné une prolifération rapide des charges de travail dans des architectures distribuées et multi-cloud. Dans le même temps, les cybermenaces sont devenues de plus en plus répandues et sophistiquées, ne laissant aux équipes de sécurité d’autre choix que d’investir massivement dans les technologies les plus récentes et les plus performantes pour protéger leurs portefeuilles d’applications et leurs données. Pour beaucoup, cela conduit au déploiement d’un ensemble de solutions disparates, généralement issues d’une multitude de fournisseurs, pour obtenir une posture de sécurité robuste contre un large éventail de menaces. Il s’ensuit que chaque solution offre probablement des capacités d’alerte d’événements et des tableaux de bord uniques, isolés les uns des autres, ce qui rend la tâche de compilation d’une vue complète des menaces sur l’ensemble des solutions fastidieuse, longue et très inefficace. Ce scénario pourrait être illustré à un niveau élevé par la figure 1 ci-dessous.
Étant donné que les équipes de sécurité de la plupart des organisations sont responsables de la protection d'architectures complexes composées de beaucoup plus de dispositifs et d'environnements de sécurité que ceux illustrés dans la figure 1, ce modèle opérationnel n'est clairement pas évolutif et pourrait exposer les applications et les données à un risque accru. Pour cette raison, nombreux sont ceux qui se sont tournés vers la gestion des informations et des événements de sécurité (SIEM) offres permettant d'agréger, d'analyser et de visualiser les données sur plusieurs systèmes de sécurité. Sans surprise, une enquête SIEM 2022 de Cybersecurity Insiders a révélé que 80 % des organisations ont déjà mis en œuvre une solution SIEM ou prévoient de le faire dans un avenir proche, les principaux motifs étant de parvenir à une détection plus rapide des événements et à des opérations de sécurité plus efficaces. Le même rapport a noté qu'entre 2021 et 2022, le marché SIEM a fait écho à l'évolution du marché plus large vers les offres basées sur le cloud et le SaaS, avec moins de choix pour déployer des solutions SIEM basées sur du matériel ou des logiciels sur site et plus de migration vers des solutions SaaS basées sur le cloud telles qu'Azure Sentinel et Sumo Logic. Si les fournisseurs de sécurité proposent des intégrations avec des solutions SIEM, notre exemple d’architecture de la figure 1 peut être considérablement simplifié, tous les événements de menace étant compilés dans un outil SIEM centralisé, comme illustré dans la figure 2.
Ayant observé cette augmentation de l’adoption du SIEM par les clients au cours des dernières années, F5 a fait de la validation de l’intégration du SIEM avec sa suite de produits un objectif clé. Qu'il s'agisse de BIG-IP, NGINX ou de services cloud distribués F5, chaque solution est compatible avec une large gamme de plates-formes SIEM de premier plan, notamment Splunk, Exabeam et Microsoft Azure Sentinel.
S'appuyant sur ce dernier point, le WAF avancé BIG-IP de F5 propose une intégration avec Azure Sentinel depuis plusieurs années maintenant et est exploité par un nombre important de clients Azure. Quel que soit l'endroit où les instances BIG-IP Advanced WAF sont déployées (sur site, dans une installation de colocation, sur Azure ou tout autre environnement cloud), cette intégration permet à Sentinel de collecter des données en temps réel à partir de chacune d'elles et de fournir une vue consolidée des menaces sur l'ensemble du portefeuille d'applications d'une organisation. Ce scénario est reflété ci-dessous dans notre troisième et dernier diagramme.
Il existe actuellement deux méthodes pour connecter les instances BIG-IP Advanced WAF à Azure Sentinel, toutes deux recommandées et entièrement gratuites. Le premier s’appuie sur F5 Telemetry Streaming qui, comme son nom l’indique, est une extension de BIG-IP qui permet de diffuser des données vers des solutions d’analyse tierces. La seule exigence pour cette approche est que chaque instance doit utiliser au minimum la version logicielle v13.1. Alternativement, si vous êtes familier avec les techniques industrielles plus standard qui utilisent Syslog ou CEF (Common Event Format), ces deux derniers sont également pris en charge.
Si vous souhaitez en savoir plus sur la connexion de vos instances BIG-IP Advanced WAF avec Azure Sentinel, des informations supplémentaires pour chaque méthode d'intégration sont disponibles dans les listes Azure Marketplace ci-dessous :