1) Politique d’indexation et optimisation de la recherche
Nucleon XDR applique une indexation avancée des événements normalisés afin de garantir une recherche rapide, fiable et pleinement exploitable. Cette indexation permet aux équipes SOC de réaliser des investigations approfondies, de générer des tableaux de bord dynamiques et de produire des statistiques détaillées sur les incidents de sécurité.
Le moteur de recherche intégré offre notamment :
Recherche en texte libre : permet de retrouver efficacement des informations telles que les adresses IP, noms d’utilisateur, emails, ou tout autre indicateur de compromission. Cette fonctionnalité rend l’analyse rapide et intuitive, même sur de grands volumes de données.
Utilisation de filtres Sigma : permet d’identifier l’ensemble des événements correspondant à des conditions de détection spécifiques, ce qui facilite les investigations ciblées et le threat hunting avancé.
2) Parallélisme des traitements et des requêtes
Les traitements au sein de Nucleon XDR — tels que l’ingestion, le parsing, la normalisation et la corrélation des événements — sont réalisés via des composants workers capables de fonctionner en parallèle. Cela permet de maintenir des performances élevées même en montée en charge. De plus, les requêtes de recherche et d’analyse bénéficient d’un traitement optimisé grâce à l’indexation, garantissant des temps de réponse adaptés aux besoins opérationnels des équipes SOC.
Nucleon XDR définit des objectifs de latence sous charge pour les fonctions critiques, notamment l’ingestion des événements et la recherche, afin d’assurer une exploitation fluide même en forte volumétrie. La solution s’appuie sur des tests de performance en conditions représentatives, prenant en compte la volumétrie EPS, le nombre de sources, la rétention des données, les règles activées et le nombre d’utilisateurs simultanés. Ces tests incluent des scénarios de montée en charge et de stabilité et mesurent notamment :
La latence d’ingestion : temps entre la réception d’un événement et sa disponibilité dans la recherche ou la corrélation.
Les temps de réponse des requêtes de recherche et des tableaux de bord.
La stabilité des services : absence de pertes d’événements, taux d’erreur minimal, gestion efficace du backlog.
L’utilisation des ressources : consommation CPU, RAM et stockage.
Les critères d’acceptation sont définis et validés avec le client lors de la phase de cadrage (SLA/SLO), en fonction des objectifs opérationnels du SOC, des contraintes d’infrastructure et du périmètre couvert. Cette approche garantit une mise en production maîtrisée et conforme aux exigences de performance.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article