Pipeline d'observabilité : Gestion de la télémétrie à grande échelle

Pipeline d’observabilité : Gestion de la télémétrie à grande échelle

Steven Edwards Analyste de la Détection des Menaces

Add to my AI research

L’observabilité a commencé comme un problème de visibilité. Cependant, aujourd’hui, elle est tout autant considérée comme un défi de contrôle, car les équipes doivent gérer les flots de télémétrie circulant quotidiennement dans l’environnement professionnel. La plupart des organisations collectent déjà de grands volumes de journaux, de métriques, d’événements et de traces. Le problème réside maintenant dans la gestion de ces masses de données avant qu’elles n’atteignent des outils coûteux en aval. Gartner définit les plateformes d’observabilité comme des systèmes qui ingèrent des télémétries pour aider les équipes à comprendre la santé, la performance et le comportement des applications, des services et de l’infrastructure. C’est important car lorsque les systèmes ralentissent ou échouent, l’impact dépasse largement le côté technique, affectant les revenus, le sentiment des clients et la perception de la marque.

Cela crée un paradoxe bien connu. Les environnements complexes nécessitent une large couverture télémétrique, mais les grands volumes de données peuvent rapidement devenir coûteux et difficiles à gérer. Lorsque chaque signal est transmis par défaut, les informations utiles se mélangent avec les doublons, les données de faible valeur et les coûts de stockage et de traitement croissants. Gartner rapporte que les dépenses d’observabilité augmentent d’environ 20% d’année en année, de nombreuses organisations dépensant déjà plus de 800 000 $ par an. La tendance montre que d’ici 2028, 80% des entreprises sans contrôle des coûts d’observabilité dépenseront plus de 50% de trop.

La pression pousse les équipes à chercher plus de contrôle plus tôt dans le flux. Les pipelines d’observabilité répondent à ce besoin en offrant aux équipes un moyen pratique de filtrer, enrichir, transformer et diriger les données avant qu’elles ne se transforment en bruit, en déchets et en frein opérationnel en aval.

La même logique commence à façonner les opérations de cybersécurité également. C’est là que des outils comme DetectFlow de SOC Prime entrent en scène. DetectFlow déplace la couche de détection directement dans le pipeline, permettant aux équipes SOC d’exécuter des dizaines de milliers de règles Sigma sur des flux Kafka en direct utilisant Apache Flink, étiquetant, enrichissant et enchaînant les événements au stade pré-SIEM pour évoluer sans les limites habituelles des fournisseurs en termes de vitesse, de capacité ou de coût.

Qu’est-ce qu’un pipeline d’observabilité ?

Un pipeline d’observabilité est la solution qui déplace la télémétrie des sources vers les destinations tout en accomplissant des tâches comme la transformation, l’enrichissement et l’agrégation. Concrètement, il prend en charge les journaux, les métriques, les traces et les événements, puis prépare ces données avant qu’elles n’atteignent les plateformes de surveillance, les SIEM, les lacs de données ou le stockage à long terme. En cours de route, les pipelines d’observabilité peuvent filtrer les données bruyantes, enrichir les enregistrements avec leur contexte, agréger les flux à grand volume, sécuriser les champs sensibles et diriger chaque type de donnée vers la destination la plus appropriée.

Cela devient important à mesure que la télémétrie se développe parmi les microservices, les conteneurs, les services cloud et les systèmes distribués. Sans un pipeline, les équipes transfèrent souvent tout par défaut, ce qui augmente les coûts, ajoute du bruit et rend la gestion des données plus compliquée à travers plusieurs outils et environnements.

Les pipelines d’observabilité aident à résoudre plusieurs défis courants :

Surcharge de données. Le volume élevé de télémétrie rend plus difficile la distinction entre les signaux utiles et les données de faible valeur, surtout lorsque des journaux, des métriques et des traces proviennent de nombreux systèmes différents en même temps.
Coûts croissants de stockage et de traitement. Envoyer toutes les données vers les plateformes en aval augmente les coûts d’ingestion, d’indexation et de rétention, même si une grande partie de ces données apporte peu de valeur.
Données bruyantes. La télémétrie en double, à faible priorité ou à faible contexte peut submerger les signaux qui comptent réellement pour le dépannage, la sécurité et l’analyse des performances.
Risques de conformité et de sécurité. Les journaux et les flux télémétriques peuvent contenir des données personnelles ou réglementées, ce qui augmente les risques de conformité et de confidentialité lorsqu’ils sont transmis ou stockés sans masquage ou rédaction appropriés.
Infrastructure complexe. Les équipes doivent souvent envoyer différents ensembles de données vers différentes destinations, telles que des outils de surveillance, des SIEM et du stockage à moindre coût, ce qui devient difficile à gérer sans un plan de contrôle central.
Migration et flexibilité des fournisseurs. Les pipelines facilitent la reconfiguration et le redirectionnement de la télémétrie pour de nouveaux outils ou des destinations parallèles sans reconstruire la collecte depuis le début.

En termes simples, un pipeline d’observabilité donne aux équipes plus de contrôle sur la télémétrie. Il aide les organisations à conserver les signaux utiles, à améliorer le contexte, et à envoyer chaque flux là où il doit aller.

Comment fonctionnent les pipelines d’observabilité

De manière pratique, les pipelines d’observabilité créent un flux unique pour gérer les données de télémétrie. Au lieu de gérer plusieurs transferts entre sources et destinations, les équipes peuvent travailler à travers une seule couche de contrôle qui prépare les données pour différents cas d’utilisation opérationnels et de sécurité.

Collecter

La première étape consiste à recueillir les données à travers l’environnement organisationnel. Cela peut inclure des journaux d’applications, des métriques d’infrastructure, des événements cloud, des données de conteneurs et des enregistrements de sécurité. Rassembler ces entrées dans un seul pipeline donne aux équipes un point de départ plus cohérent et réduit le besoin de connexions séparées entre chaque source et chaque outil.

Traitement

Une fois les données entrées dans le pipeline, elles peuvent être ajustées pour répondre aux besoins de l’entreprise. Les équipes peuvent standardiser les formats, enrichir les enregistrements avec des métadonnées, supprimer les événements en double, masquer les champs sensibles ou réduire les détails inutiles. Cette étape rend les données plus utilisables, que l’objectif soit le dépannage, la conformité, la rétention à long terme ou l’analyse de sécurité.

Acheminer

Après traitement, le pipeline envoie les données à la bonne destination. Les enregistrements prioritaires peuvent aller vers une plateforme de surveillance ou un SIEM pour une visibilité immédiate, tandis que d’autres données peuvent être archivées, stockées dans un lac de données ou dirigées vers un stockage à moindre coût. Cela facilite le soutien des différentes équipes sans forcer chaque système à traiter les mêmes données de la même manière.

Avantages de l’utilisation d’un pipeline d’observabilité

Un pipeline d’observabilité aide les équipes à gérer la croissance des volumes de télémétries, à améliorer la qualité des données et à contrôler comment les informations sont utilisées à travers les opérations et la sécurité. À mesure que les environnements deviennent plus distribués, ce type de contrôle est de plus en plus important pour le coût, la performance et une prise de décision plus rapide.

Certains des principaux avantages incluent :

Réduction des coûts de stockage et de traitement. Un pipeline d’observabilité aide à réduire les dépenses inutiles en filtrant les événements de faible valeur, en dédupliquant les enregistrements et en envoyant uniquement les données pertinentes aux plateformes coûteuses. Cela empêche les équipes de payer le prix fort pour des données qui n’apportent que peu de valeur.
Une meilleure qualité des signaux. Lorsque la télémétrie bruyante ou incomplète est nettoyée plus tôt, les données qui atteignent les outils en aval deviennent plus faciles à rechercher, analyser et exploiter. Cela aide les équipes à se concentrer sur ce qui importe réellement au lieu de trier le fouillis.
Dépannage et enquêtes plus rapides. Des données mieux préparées accélèrent la réponse aux incidents. Les équipes opérationnelles peuvent identifier plus rapidement les problèmes de performance, tandis que les équipes de sécurité peuvent obtenir des enregistrements plus propres et plus pertinents dans les SIEM et autres outils de détection sans submerger les analystes avec du bruit.
Une conformité et une protection des données renforcées. Les journaux et la télémétrie peuvent contenir des informations sensibles ou réglementées. Un pipeline facilite le masquage, la rédaction ou l’acheminement correct de ces données avant qu’elles ne soient stockées ou partagées, ce qui soutient la conformité et réduit le risque.
Plus de flexibilité à travers les outils et les équipes. Différentes équipes ont besoin de vues différentes des mêmes données. Un pipeline d’observabilité facilite le routage de flux spécifiques vers des plateformes de surveillance, des lacs de données, des SIEM ou un stockage moins coûteux sans reconstruire la collecte chaque fois que les besoins changent.
Une meilleure évolutivité pour les environnements modernes. À mesure que l’infrastructure se développe à travers le cloud, les conteneurs et les systèmes distribués, les pipelines aident les organisations à faire évoluer la gestion de la télémétrie de manière plus contrôlée et durable.

En essence, la valeur d’un pipeline d’observabilité repose sur le contrôle. Il aide les équipes à réduire les déchets, améliorer la qualité des signaux, soutenir la sécurité et la conformité, et à mieux utiliser la télémétrie à travers l’entreprise.

Pipeline d’observabilité dans le Cloud

Les environnements cloud compliquent l’observabilité car ils ajoutent plus de mouvement, plus de dépendances, et bien plus de télémétrie à gérer. Les microservices, les conteneurs, Kubernetes et les charges de travail à courte durée de vie produisent tous des signaux qui changent rapidement et s’accumulent rapidement. Dans le résumé de recherche de la chronosphère sur l’observabilité cloud-native, 87% des ingénieurs ont déclaré que les architectures cloud-native ont rendu la découverte et le dépannage des incidents plus complexes, et 96% ont dit qu’ils se sentaient à leurs limites.

Cette complexité crée un problème pratique pour l’entreprise. Les équipes ont besoin d’une large visibilité pour comprendre ce qui se passe à travers les services cloud, les applications et l’infrastructure, mais transférer tout par défaut devient rapidement coûteux et difficile à gérer. Les experts décrivent le changement du marché comme un passage du volume à la valeur, poussé par les coûts de télémétrie croissants, les charges de travail IA et le besoin d’une visibilité plus disciplinée.

C’est là que les pipelines d’observabilité deviennent particulièrement utiles dans le cloud. Un pipeline donne aux équipes une couche de contrôle entre les sources de données et les outils en aval, afin qu’elles puissent filtrer les enregistrements bruyants, enrichir les plus importants, et diriger chaque flux vers la bonne destination. Cela signifie moins de gaspillage dans les plateformes premium, de meilleurs signaux pour le dépannage, et plus de flexibilité à travers les outils de surveillance, de stockage et de sécurité. Dans les environnements cloud-native, ce type de contrôle n’est plus un simple bonus.

L’angle cloud est également important pour la cybersécurité. Les équipes de sécurité dépendent de la même télémétrie cloud pour la détection des menaces, l’enquête et la conformité, mais le volume brut peut submerger les SIEM et enfouir les événements importants. Un pipeline d’observabilité aide plus tôt dans le flux en réduisant le bruit, en améliorant le contexte, et en envoyant les enregistrements de plus grande valeur aux bons systèmes. C’est aussi là que DetectFlow de SOC Prime trouve naturellement sa place, déplaçant la détection plus près de l’ingestion pour que les équipes puissent évaluer, enrichir et corréler les événements avant qu’ils ne deviennent une surcharge en aval.

Pipeline d’observabilité : une couche plus intelligente pour les opérations de sécurité

Un pipeline d’observabilité offre aux équipes quelque chose dont elles ont de plus en plus besoin dans les environnements modernes : le contrôle avant que les données ne se transforment en coûts, en bruit, et en prise de décision lente. Plus les organisations collectent de télémétrie, plus il est essentiel de la filtrer, de l’enrichir, de la transformer et de la diriger avec un objectif. Cela rend les pipelines d’observabilité utiles bien au-delà de la seule surveillance. Ils aident à améliorer la qualité des données, à maintenir l’efficacité des plateformes en aval, et à créer une base plus solide pour les opérations et la sécurité.

Notamment, les équipes de sécurité font face au même problème de télémétrie, mais avec des enjeux plus élevés. Les SIEM ont des limites pratiques, les comptes de règles ne s’échelonnent pas indéfiniment, et trop de données brutes peuvent imposer une charge énorme sur l’analyse de sécurité. C’est là que DetectFlow ajoute une couche de valeur significative, en étendant la logique du pipeline d’observabilité à la détection des menaces en rapprochant la détection de la couche d’ingestion.

DetectFlow exécute des dizaines de milliers de détections Sigma sur des flux Kafka en direct utilisant Apache Flink, corrèle les événements à partir de sources de journaux multiples au stade pré-SIEM, et utilise Flink Agent plus un contexte de menace actif pour une analyse améliorée par IA. En pratique, cela signifie que les équipes SOC peuvent réduire le bruit plus tôt, faire émerger les chaînes d’attaque plus rapidement, et améliorer la clarté des enquêtes avant que les outils en aval ne soient submergés.

Tableau de bord SOC Prime DetectFlow

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.