Créée par d’anciens du DoE (Department of Energy) aux USA, Corelight est une nouvelle entreprise qui propose une suite de monitoring du trafic réseau s’appuyant sur Zeek, un projet open source.
Corelight est une des nouvelles jeunes entreprises qui tient actuellement le haut du pavé dans la Silicon Valley. Fondée par d’anciens du DoE et par le créateur de Zeek, la société vient de lever récemment 50M$ dans un tour de série C mené par Insight Partners et Accel.
Une base open source
Zeek est un nouvel outil de monitoring du réseau issu de Bro et créé par Vern Paxson à partir de travaux sur le système de contrôle d’un accélérateur de particules. L’outil se révèle un étonnant et très efficace outil de visibilité du réseau qui est devenu directement un logiciel reconnu de la sécurité opérationnelle dans le réseau.
L’outil est d’ailleurs présent dans des milliers d’entreprises ou d’institutions gouvernementales. Il a la particularité de transformer des données brutes du réseau en des données logs compréhensibles pour les outils d’analyses et ce en temps réel. Les données sont organisées par protocoles (plus d’une trentaine sont répertoriés dans Corelight), indexées dans Corelight et rendues prêtes aux analyses. Plusieurs attributs complètent les données comme un horodatage à la microseconde près avec une fonction de synchronisation au travers des logs, une identification unique pour chaque connexion, instance ou fichier vu sur le réseau et un hash unique pour chaque fichier. Ces fonctions se réalisent même si le trafic est chiffré.
Simplifié Zeek
Corelight a en fait packagé Zeek pour le rendre plus simple à l’usage avec des ajouts d’automatisation de certaines tâches. Concrètement, la console de gestion reçoit les informations issues de capteurs placés sur le réseau. Ces informations proviennent des équipements dans le centre de données ou d’instances EC2 d’AWS. Le capteur trie ensuite les données en envoyant l’ensemble des logs vers des outils comme un SIEM, un data lake ou un bucket S3 pour la conservation des logs et un fichier vers les outils d’analyses.
La solution est utilisée pour des usages assez différents comme la réponse à incident mais aussi la chasse aux menaces (Threat Hunting). Vern Paxson a d’ailleurs présenté lors d’une démonstration les possibilités du logiciel de Corelight dans le domaine lors de notre visite. L’outil peut être utilisé pour enrichir des jeux de données vers les SIEM ou d’autres outils analytiques ou tout simplement contrôler les opérations sur le réseau.
Brian Kelly, le CEO de Corelight.