Découvrez la fonctionnalité de recherche de journaux optimisée par l'IA dans Barracuda Managed XDR, basée sur Databricks Genie avec isolation des tenants au niveau des lignes dans Unity Catalog.
Lorsqu'un analyste de sécurité est alerté d'une connexion suspecte ou d'un blocage de pare-feu inhabituel, la réponse se trouve presque toujours dans les journaux. Le plus difficile est de la trouver.
Barracuda Managed XDR est un service de sécurité optimisé par l'IA qui associe une détection avancée à un centre d'opérations de sécurité (SOC) dédié pour aider les entreprises à se protéger contre les menaces, à les détecter et à y répondre sur les terminaux, les réseaux, les e-mails et les environnements cloud.
Cette protection repose sur un volume massif de journaux de sécurité provenant de pare-feux, de terminaux, de fournisseurs d'identité, de plateformes cloud et de passerelles de messagerie à travers des milliers d'environnements clients. Chaque source WatchGuard, Fortinet, Palo Alto, Microsoft 365 et AWS possède son propre schéma et ses propres noms de champs. Historiquement, extraire des réponses de ces données impliquait d'écrire du SQL et de composer avec les incohérences et les formats propriétaires de chaque fournisseur.
L'équipe d'ingénierie de Barracuda a décidé de résoudre ce problème. Elle souhaitait que n'importe quel analyste, technicien MSP ou responsable de la sécurité puisse interroger directement les données, sans avoir à devenir un expert de dizaines de formats de journaux.
La solution qu'ils ont déployée est la recherche de journaux optimisée par l'IA (AI-Powered Log Search), basée sur Genie et intégrée directement au tableau de bord XDR. Les utilisateurs posent des questions telles que « montre-moi les tentatives de connexion échouées depuis des IP externes au cours des dernières 24 heures » et obtiennent des résultats en quelques secondes, avec une isolation multi-tenant appliquée au niveau de la couche de données.
Vous souhaitez obtenir une analyse technique détaillée de son fonctionnement ? Lisez l'article de l'équipe d'ingénierie de Barracuda.
Avant la recherche de journaux optimisée par l'IA, une enquête se déroulait généralement de deux manières.
Si l'analyste chargé du dossier connaissait les schémas pertinents pour la source de données spécifique, il pouvait interroger les données lui-même. Cela signifiait qu'un petit groupe d'analystes seniors gérait la majeure partie du travail non routinier, car peu de personnes avaient le temps ou l'expérience nécessaires pour appréhender l'ensemble des formats des fournisseurs.
Dans le cas contraire, ils escaladaient le problème. La question était transmise à quelqu'un capable d'écrire la requête, ce qui créait une file d'attente. Même les demandes simples devaient attendre qu'un analyste senior ait le temps de s'en occuper.
Aucune de ces approches n'était facilement évolutive pour des milliers de clients et de partenaires. Barracuda souhaitait une solution qui offre à chaque utilisateur un accès direct aux données sans nécessiter de SQL, et sans affaiblir l'isolation des tenants dont dépend une plateforme managée.
La recherche de journaux optimisée par l'IA est intégrée au tableau de bord XDR. L'utilisateur saisit une question, Genie la convertit en SQL, l'exécute sur les journaux de ce client et renvoie les résultats dans une vue tabulaire familière. La requête générée s'affiche à côté des résultats, ce qui permet aux analystes de vérifier ce qui a été exécuté ou d'apprendre le SQL pour la prochaine fois.
Ce qui permet à cette solution de mieux fonctionner qu'un outil text-to-SQL générique, c'est le contexte auquel Genie a accès. Barracuda a enrichi son Unity Catalog avec des métadonnées spécifiques à la sécurité, notamment des descriptions pour chaque colonne et table couvrant les sources réseau, serveur, cloud, e-mail et terminal. Ainsi, lorsqu'un utilisateur pose une question sur les « connexions bloquées », Genie peut associer la demande aux tables et champs appropriés, quels que soient les fournisseurs de pare-feu utilisés par ce client.
Les conversations multi-tours sont prises en charge, ce qui correspond à la méthode de travail de la plupart des analystes. Une première question permet d'obtenir une vue d'ensemble, et les questions suivantes l'affinent : « filtre maintenant sur les 10 principales adresses IP sources », « montre-moi les mêmes données pour la semaine dernière », « exclus les adresses internes ». Genie conserve le contexte, de sorte que chaque suivi s'appuie sur le précédent sans avoir à le reformuler.
Selon Barracuda, Genie a réduit le délai d'obtention des insights lors des enquêtes de routine, le faisant passer de plusieurs heures à quelques minutes. Un analyste junior qui aurait escaladé une requête complexe le mois dernier peut désormais l'exécuter lui-même. Un technicien MSP au service de plusieurs clients peut répondre à une question sur-le-champ plutôt que de la transmettre à un analyste senior. Les équipes de conformité et les responsables de la sécurité peuvent extraire leurs propres données sans créer de ticket. Et comme chaque requête est enregistrée, la piste d'audit couvre les exigences de conformité SOC 2 et similaires sans instrumentation supplémentaire.
Ce changement transforme déjà la manière dont Barracuda gère les demandes récurrentes de recherche de journaux. Avant Genie, les utilisateurs métier s'en remettaient régulièrement aux analystes du SOC pour extraire des données spécifiques. L'équipe du SOC recevait environ 200 demandes par mois, chacune nécessitant 25 à 30 minutes pour interpréter la demande, identifier la bonne source de données et le bon schéma, écrire le SQL, exécuter la requête et répondre via des tickets. Grâce à Genie, ces demandes récurrentes peuvent passer en libre-service, libérant ainsi environ 83 à 100 heures d'analystes SOC par mois, soit 1 000 à 1 200 heures par an.
En utilisant Databricks Genie pour permettre à nos partenaires et PME d'interroger des données de sécurité complexes en langage courant, Barracuda Managed XDR rend l'investigation des menaces remarquablement simple à utiliser. Cette recherche intuitive optimisée par l'IA permet de traiter plus rapidement les risques potentiels, améliorant ainsi considérablement notre productivité opérationnelle globale et notre défense d'entreprise.—Boopathy Veerappa, Directeur, Cyber DevOps Engineering - Managed XDR
Une interface en langage naturel pour les journaux de sécurité n'est utile que s'il est possible de l'exposer en toute sécurité à des milliers de clients sur une plateforme partagée. Une requête qui dépasse les limites d'un client constitue une faille de sécurité. C'est pourquoi Barracuda a intégré l'isolation des tenants à chaque couche du système.
Genie n'interroge jamais directement les tables de base. À la place, il interroge des vues sécurisées dans Unity Catalog qui filtrent les données selon l'organisation de l'utilisateur authentifié avant même que le moteur de requête n'exécute le SQL. Comme le filtre est appliqué au niveau de la couche de vue plutôt que dans le prompt ou le code de l'application, une requête malformée ou malveillante ne peut pas le contourner. Les principaux de service sont limités à une seule organisation, et un validateur de requêtes inspecte chaque instruction SQL générée pour confirmer la présence du filtre d'organisation et rejette celles qui échouent.
La gouvernance est incluse d'office avec cette architecture. Les mêmes politiques de sécurité au niveau des lignes qui protègent les tables sous-jacentes s'appliquent aux requêtes en langage naturel. Il n'y a donc pas de modèle d'accès parallèle à maintenir ni de couche d'autorisation distincte à synchroniser.
L'équipe Managed XDR de Barracuda continue de développer la recherche de journaux optimisée par l'IA. L'enregistrement et la planification des recherches figurent sur la feuille de route à court terme, tout comme l'intégration avec l'assistant IA de Barracuda pour la synthèse, de nouvelles sources de données, ainsi que la génération de graphiques et de visualisations directement à partir des résultats de requête.
Pour obtenir l'analyse technique complète, y compris l'architecture d'IA composite, l'implémentation de la sécurité au niveau des lignes, le pipeline de validation des requêtes et le modèle de déploiement multi-région, lisez l'article technique de Barracuda.
Pour en savoir plus sur Genie et découvrir comment les équipes l'utilisent pour mettre les données et les agents à la disposition de chaque collaborateur, visitez la page produit de Genie.
(Cet article de blog a été traduit à l'aide d'outils basés sur l'intelligence artificielle) Article original
Abonnez-vous à notre blog et recevez les derniers articles directement dans votre boîte mail.