Le Corelight Sensor est une appliance — physique, virtuelle ou logicielle — dédiée à l’analyse approfondie du trafic réseau pour la détection, l’investigation et la réponse aux menaces.
Il s’appuie sur des technologies open source de référence comme Zeek et Suricata, enrichies par des optimisations Corelight pour fournir une visibilité réseau extrêmement détaillée et exploitable.

Rôle principal
Le capteur Corelight transforme le trafic réseau brut en données structurées, riches et prêtes à l’analyse, permettant aux équipes SOC, SIEM ou DFIR de :

• détecter des comportements anormaux,
• accélérer les investigations,
• réduire le bruit d’alertes,
• reconstruire des événements complexes sur plusieurs protocoles.

Fonctionnalités clés

• Inspection approfondie des paquets (DPI) via Zeek.Détection d’intrusion (IDS) via Suricata intégrée au capteur.
• Smart PCAP : capture sélective de paquets pour conserver des mois d’historique au lieu de quelques minutes.
• Analyse statique de fichiers via YARA pour identifier des menaces connues.
• Production de logs Zeek enrichis, normalisés et optimisés pour ingestion dans Splunk, Elastic, Sentinel, etc.
• Interface graphique simple pour configuration, supervision et intégration SIEM/SOAR.
• Déploiement flexible : appliance matérielle, VM, cloud, ou même version logicielle (ex. Raspberry Pi).

Positionnement dans l’architecture sécurité
Corelight agit comme un middleware réseau :
il reçoit le trafic (via TAP, SPAN, agrégateurs), l’analyse, l’enrichit, puis transmet les données vers les outils en amont (SIEM, XDR, data lake, SOAR)