Splunk Inc. dévoile de nouvelles innovations pour les produits de sa plateforme unifiée de sécurité et d’observabilité
juillet 2023 par Marc Jacob
Splunk Inc. dévoile de nouvelles innovations pour les produits de sa plateforme unifiée de sécurité et d’observabilité à l’occasion de sa conférence annuelle des utilisateurs, .conf23.
Ces améliorations concernent l’ensemble du portefeuille de Splunk et offrent aux équipes d’ingénierie, SecOps et ITOps des expériences et des workflows unifiés pour leur permettre de détecter, investiguer et répondre aux menaces rapidement et avec précision, à n’importe quelle échelle. Ces innovations s’appuient sur la plateforme unifiée de sécurité et d’observabilité de Splunk. Associées aux offres d’IA de Splunk, elles donnent aux organisations une visibilité unique sur l’ensemble de leurs environnements hybrides afin d’optimiser les coûts, d’accélérer les processus de détection, d’investigation et de réponse, et de stimuler la transformation numérique.
L’incapacité à traiter les incidents, qu’il s’agisse d’une menace de sécurité ou une perturbation affectant les clients, peut nuire à la compétitivité d’une organisation. En unifiant les processus et les technologies de sécurité et d’observabilité, les organisations peuvent plus facilement s’assurer de la résilience de leurs systèmes numériques. D’après un rapport récent de l’ESG, 55 % des décideurs IT affirment que l’observabilité leur permet d’obtenir davantage d’informations sur les vulnérabilités, et 51 % déclarent que les capacités de correction des solutions d’observabilité permettent à leurs équipes de sécurité d’agir plus rapidement. Les équipes d’ingénierie, SecOps et ITOps ont manifestement besoin d’outils réduisant la complexité opérationnelle et offrant une visibilité partagée sur l’ensemble de leur pile technologique pour permettre une réponse efficace aux incidents.
Améliorez vos opérations de sécurité unifiées grâce à l’analyse automatisée des menaces de Splunk Attack Analyzer
Les équipes SecOps actuelles sont submergées par le nombre d’alertes, de processus manuels et d’outils cloisonnés, et ne disposent pas du contexte nécessaire pour circonscrire les attaques complexes. Les produits de sécurité de Splunk proposent une solution unifiée s’intégrant aux grandes technologies de sécurité de détection, d’investigation et de réponse afin de simplifier ces workflows et atténuer les déluges d’alertes. Grâce à l’expérience SecOps unifiée et améliorée de Splunk, les clients peuvent automatiser 95 % de leurs tâches de réponse aux incidents.
L’ajout de Splunk Attack Analyzer (anciennement Twinwave) à cette expérience unifiée inaugure une nouvelle approche permettant aux équipes de sécurité d’automatiser l’analyse des attaques de phishing et par malware afin de mettre au jour des techniques d’attaque complexes utilisées pour échapper à la détection. Grâce à une intégration avec Splunk SOAR, Splunk Attack Analyzer permet aux analystes de sécurité d’automatiser l’investigation des menaces afin d’assurer des détections rapides et précises, et de réduire le temps et les ressources nécessaires aux investigations manuelles.
L’utilisation d’outils de dépannage et de workflows centralisés améliore les expériences clients. Avec la version anticipée de l’OpenTelemetry Collector comme extension technique (TA), les clients de Splunk Cloud Platform peuvent plus facilement adopter Splunk Observability Cloud et déployer le Collector parallèlement à leurs forwarders existants pour capturer les métriques et les traces. Grâce à cette nouvelle fonctionnalité qui offre aux clients une vue unifiée de leur infrastructure et de leurs services, plus besoin de déployer et de gérer deux agents. L’arrivée de l’OpenTelemetry Collector marque une étape importante dans l’engagement de Splunk envers le projet OpenTelemetry et la communauté open source en aidant les clients à transmettre leurs données plus facilement.
Grâce à la nouvelle fonctionnalité Unified Identity, les experts ITOps et les ingénieurs peuvent désormais accéder immédiatement aux données de Splunk Cloud Platform et Splunk Observability Cloud avec les mêmes identifiants. Ainsi, les clients profitent d’une expérience d’identification améliorée et peuvent accéder instantanément aux données de logs de Splunk Cloud Platform pour des dépannages plus rapides. Cette intégration met à disposition des experts ITOps et des ingénieurs un ensemble commun de visualisations pour une meilleure coordination entre les équipes permettant ainsi des processus de détection et de réponse rapides.
Avoir une visibilité de l’edge au cloud est la base de la résilience. Les dernières améliorations de Splunk Cloud Platform et de Splunk Enterprise 9.1 permettent aux équipes d’ingénierie, SecOps et ITOps de visualiser les flux de données sur l’ensemble de leur pile technologique pour encourager une collaboration plus étroite, afin que les organisations puissent faire évoluer leurs opérations pour réagir rapidement et minimiser les perturbations. Parmi ces améliorations :
• Ingest Actions enrichit ses fonctionnalités pour acheminer les données vers plusieurs buckets Amazon S3 distincts, pour une meilleure granularité en matière de gestion des données.
• La nouvelle version anticipée de Federated Search for Amazon S3 offre une expérience de recherche unifiée dans les données au repos des buckets Amazon S3 – sans avoir à importer les données dans Splunk – ainsi que des instances Splunk et des data lakes tiers grâce à son intégration dans Ingest Actions et Edge Processor pour faciliter les mouvements de données. Ainsi, les clients évitent les temps de latence et les dépenses inutiles.
• Edge Processor featuring SPL2 permet maintenant l’importation et l’exportation de données vers Splunk avec HTTP Event Collector (HEC), ce qui facilite la gestion des données. De plus, pour répondre aux exigences de souveraineté des données et de conformité, les utilisateurs peuvent spécifier des destinations par défaut avec Edge Processor pour plus de flexibilité dans l’acheminement.