MacAfee a ajouté des capacités de requêtes en quasi temps réel à son logiciel ePolicy Orchestrator (ePO). Elle a aussi intégré ePO à ses solutions de gestion des événements et des informations de sécurité (SIEM) pour permettre la modification automatique de la politique de sécurité en fonction de certains critères et réagir rapidement en cas d'événements suspects. Ces améliorations s'inscrivent dans la stratégie Security Connected annoncée en janvier par McAfee, laquelle consiste à augmenter l'intégration entre ses propres produits et les produits de ses partenaires.

La solution ePolicy Orchestrator (ePO), au coeur de la stratégie et du framework Security Connected de McAfee, permet de faire que tous les produits de sécurité utilisés dans un environnement d'entreprise travaillent ensemble et partagent l'information. Véritable tour de contrôle de la sécurité, ePO permet de recueillir des données provenant des noeuds d'extrémités, de mettre à jour et de déployer des configurations, de mettre en oeuvre des politiques de sécurité end point et réseaux, et d'interagir avec d'autres produits de sécurité, non seulement ceux de McAfee, mais aussi ceux d'autres fournisseurs membres de la McAfee Security Innovation Alliance.

Une solution de requêtes par chaînage

C'est pour réduire le temps important consacré à la gestion des dizaines ou des centaines de milliers de noeuds de terminaison dans l'entreprise que McAfee a lancé Real Time for ePO. La technologie réduit le temps de requêtes à quelques secondes, elle permet d'obtenir plus vite des informations sur les produits installés sur les systèmes endpoint et analyse beaucoup plus rapidement les événements concernant la sécurité. « Avec Real Time for ePO on peut, par exemple, voir en quelques secondes si tous les fichiers présents sur les noeuds sont à jour, avoir des informations sur le registre, sans surcharger pour autant le réseau », a déclaré Gretchen Hellman, directrice marketing SIEM chez McAfee.

« Le mécanisme de communication de Real Time for ePO utilise une méthode de requête par chaînage, c'est-à-dire que le serveur envoie une requête unique au lieu d'interroger chaque paramètre individuellement en circulant en mode peer-to-peer, », a-t-elle expliqué. « L'amélioration des performances varie en fonction de l'environnement réseau », a-t-elle ajouté. « Pour les réseaux de petite taille, ce type d'opérations peut être réalisé 10 fois plus vite, mais sur de très gros réseaux, la performance peut être multipliée par 1000 », a-t-elle affirmé.

Une adaptation rapide des politiques de sécurité

L'autre amélioration réalisée sur la plate-forme concerne l'intégration du produit SIEM Enterprise Security Manager avec ePO, Vulnerability Manager et Network Security Platform. SIEM utilise déjà les informations remontées par Global Threat Intelligence de l'éditeur sur des ressources malveillantes dans les sites web, les domaines et les serveurs de fichiers. Le produit analyse les logs et les événements recueillis sur les noeuds et alerte l'administrateur système en cas de communication suspecte avec un acteur malveillant. Mais, grâce aux récentes améliorations, SIEM peut désormais décider automatiquement d'appliquer des mesures en fonction de règles prédéfinies.

« Par exemple, si SIEM soupçonne une action potentiellement malveillante, il peut automatiquement lancer une analyse sur le critère concerné pour chercher d'éventuels malwares ou demander à la plate-forme McAfee Network Security de bloquer immédiatement la communication suspecte », explique Gretchen Hellman. SIEM peut aussi demander à ePO d'appliquer des changements dans la politique de sécurité et de marquer le système pour une enquête approfondie. « Maintenant, SIEM collecte l'intelligence et la transforme en action intelligente», a ajouté la directrice marketing.