Announcing the new IBM QRadar and Cloudflare direct log integration
Annonce de la nouvelle intégration directe des journaux de Cloudflare à la solution QRadar d'IBM

Minuit vient de sonner et vous venez de recevoir une notification vous informant qu'une adresse IP malveillante s'attaque à vos serveurs. Vous devez effectuer un triage de la situation aussi rapide et détaillé que possible, c'est-à-dire essayer de répondre aux questions suivantes : « Qui ? », « Quoi ? », « Où ? », « Quand ? » et « Pourquoi ? ».

En fonction de vos découvertes, le champ de vos prochaines étapes pourrait s'étaler entre la catégorisation de la notification en tant que faux positif et l'escalade de la situation, en réveillant vos équipes d'astreinte par un appel au beau milieu de la nuit afin de les mettre en état d'alerte.  

Quiconque a déjà vécu un événement similaire sait que les outils de sécurité à sa disposition peuvent rendre la situation infiniment plus simple. Une plateforme assurant une visibilité totale sur l'ensemble des points de terminaison, des systèmes et des opérations de votre entreprise se révèle alors inestimable.

Cloudflare protège les applications de ses clients grâce à plusieurs services destinés à ces dernières, comme le DNS, le réseau CDN et le pare-feu WAF, pour n'en citer que quelques-uns. Nous disposons également de produits permettant de protéger les applications d'entreprises, comme nos solutions Zero Trust, Access et Gateway. Chacun de ces produits génère des journaux qui assurent aux clients de la visibilité sur les événements qui surviennent au sein de leurs environnements. Bon nombre de nos clients utilisent les services de Cloudflare, en plus d'autres services réseau ou destinés aux applications, comme la gestion des points de terminaison, la conteneurisation des systèmes et leurs propres serveurs

Nous sommes heureux d'annoncer que les clients de Cloudflare sont désormais en mesure d'envoyer leurs journaux directement vers le SIEM IBM Security QRadar. Cette intégration directe permet d'économiser sur les coûts et d'accélérer la transmission des journaux pour les clients de Cloudflare et du SIEM QRadar, car aucun stockage cloud intermédiaire n'est requis.

Cloudflare a invité nos partenaires de l'équipe chargée du SIEM IBM QRadar pour parler des capacités que ce dernier déverrouille pour nos clients communs.

SIEM IBM QRadar

Le SIEM QRadar assure une visibilité centralisée aux équipes de sécurité et leur offre des informations contextuelles sur l'ensemble des utilisateurs, points de terminaison, clouds, applications et réseaux, afin de vous aider à détecter les menaces, à enquêter sur ces dernières et à y réagir à l'échelle de l'entreprise. La solution aide les équipes de sécurité à travailler rapidement et avec efficacité, en transformant des milliers, voire des millions, d'événements en un nombre gérable d'alertes hiérarchisées. Elle permet également d'accélérer les enquêtes menées sur ces événements grâce à un processus d'enrichissement automatisé, piloté par IA, et à l'analyse des causes premières. Grâce au SIEM QRadar, vous pourrez accroître la productivité de votre équipe, répondre à des scénarios d'utilisation critiques et amener vos opérations de sécurité à maturité.

Le proxy inverse et les produits de sécurité des entreprises proposés par Cloudflare constituent un élément essentiel des environnements de nos clients. Une analyse de sécurité peut permettre d'obtenir de la visibilité sur les journaux provenant de ces produits, en plus de données issues d'outils couvrant le réseau des clients, afin d'assurer la mise en place de processus de détection et d'intervention.

The Offenses view in QRadar provides a prioritized list of threats
la vue Infractions de QRadar présente une liste hiérarchisée des menaces

IBM et Cloudflare se sont associées pendant des années afin de proposer une interface de visualisation unifiée à nos clients. Cette nouvelle intégration renforcée implique que les clients du SIEM QRadar peuvent ingérer les journaux Cloudflare directement à partir du produit Logpush de Cloudflare. Le SIEM QRadar continue également à prendre en charge les clients qui tirent parti d'une intégration existante via stockage S3.

Pour plus d'informations sur la manière d'utiliser cette nouvelle intégration, reportez-vous au guide Cloudflare Logs DSM. N'hésitez pas non plus à consulter l'article figurant sur le blog de la communauté QRadar pour plus de détails !