Découvrez le SIEM du futur : Splunk® Enterprise Security 8.0

C’est une année passionnante pour Splunk Enterprise Security ! En mai, nous avons fêté notre dixième titre consécutif de Leader dans le Magic Quadrant™ SIEM 2024 de Gartner®.

Nous n’allons pas nous arrêter là. Pour poursuivre sur cet élan, nous avons le plaisir de vous présenter le SIEM du futur. Splunk Enterprise Security 8.0 est disponible dès maintenant en accès anticipé privé.

Leader du marché du SIEM, Splunk Enterprise Security 8.0 est une révolution pour les workflows du SOC. Cette solution permet aux analystes de sécurité de détecter les événements qui comptent, de mener des investigations poussées et de réagir rapidement. Faites passer vos opérations de sécurité au niveau supérieur en unifiant des workflows complets de détection des menaces, d’investigation et de réponse (TDIR), et en vous appuyant sur des capacités modernes d’agrégation et de tri, des détections plus performantes et une terminologie simplifiée.

Cette union révolutionnaire de fonctions innovantes sur tout le spectre TDIR marque l’avènement d’une nouvelle génération de SIEM, destinée à devenir le fondement des solutions TDIR et à soutenir le SOC du futur. C’est le SIEM du futur, et le futur commence maintenant avec Splunk Enterprise Security.

Les équipes SecOps restent confrontées à des défis majeurs 

Pour naviguer dans le paysage actuel des menaces, les analystes de sécurité doivent avoir une visibilité constante sur les environnements cloud, hybrides et locaux, tout en gérant l’afflux permanent de données provenant d’un large éventail de sources de sécurité, IT et métiers. Il est indispensable de savoir les exploiter, car la sécurité reste avant tout un problème de données. La segmentation des données et des outils de sécurité freine les analystes dans leurs efforts pour agréger, corréler et hiérarchiser l’information – autant d’activités cruciales pour détecter efficacement les menaces et y répondre. Avec l’évolution des menaces de sécurité et l’augmentation des volumes de données, les processus manuels deviennent impraticables. Pensez aussi aux incohérences dans la terminologie employée par les différents composants de sécurité, qui sèment la confusion et entravent la communication, la collaboration des équipes et la coordination des efforts.

Pour améliorer l’efficacité du SOC, les analystes ont besoin de workflows homogènes et axés sur la productivité. Armez vos analystes d’une solution SIEM servant de base à l’unification de la détection, de l’investigation et de la réponse aux menaces : vous renforcerez leur confiance et leur efficacité dans la gestion des risques de sécurité.

Une approche TDIR complète centralisée dans Splunk Enterprise Security 

C’est une réalité : les analystes sont submergés par le nombre d’outils. Ils jonglent en moyenne avec plus de 25¹ outils de sécurité différents pour couvrir la détection, l’investigation et la réponse. Et cette dispersion nuit aux temps moyens de détection (MTTD) et de réponse (MTTR).

C’est pourquoi nous proposons une nouvelle surface de travail unifiée aux utilisateurs de Splunk Enterprise Security. Dans Splunk Enterprise Security 8.0, nous intégrons directement les playbooks et les actions de Splunk SOAR avec les fonctions de gestion des cas et d’investigation de Splunk Enterprise Security et de Mission Control. Les analystes peuvent détecter, investiguer et répondre aux menaces au sein d’une même interface moderne. Cette solution unifiée pour l’agrégation, l’analyse et l’automatisation des données aura un impact bénéfique et tangible sur l’efficacité de leurs opérations.

Nous présentons une expérience unifiée et entièrement intégrée pour la gestion des cas, le tri des alertes, les investigations sur les incidents et la réponse. Tous les scénarios d’utilisation du SOC sont centralisés dans Splunk Enterprise Security. En un clic, les analystes accèdent aux tâches d’automatisation et d’orchestration de Splunk Enterprise Security.

Grâce à l’introduction des plans de réponse dans Splunk Enterprise Security, les utilisateurs collaborent en toute simplicité pour exécuter les workflows de réponse des principaux scénarios de sécurité. Les analystes ont accès à un processus de réponse défini et organisé directement dans Splunk Enterprise Security, sans perdre de temps à naviguer d’un outil à l’autre.

Une seule solution. MTTD et MTTR : optimisés et simplifiés.

Capacités modernes d’agrégation et de tri 

Dans leurs efforts pour détecter les menaces dans un paysage nébuleux, les analystes sont constamment freinés par le manque de contexte. Il est difficile de comprendre l’importance et l’impact potentiel des menaces de sécurité, et cela les empêche de prendre des décisions informées et d’agir en conséquence.

Nous introduisons les Groupes de détection dans les workflows des analystes. Ces groupes vont automatiquement agréger les détections sur la base de règles prédéfinies découlant de techniques de regroupement et de calculs courants dans le domaine de la sécurité : entités similaires, score de risque cumulatif, seuils MITRE ATT&CK, etc. Cette vue agrégée offre aux analystes une image complète de toutes les détections haute fidélité connexes en un seul clic, afin de simplifier leur expérience pour qu’ils puissent passer à l’action et repousser les menaces sophistiquées. 

Amélioration de la détection

Les analystes de sécurité ont parfois du mal à discerner les menaces prioritaires dans le bruit des alertes. On estime en effet que 41 %² des alertes sont ignorées, et les analystes n’ont tout simplement pas le temps d’ajouter du contexte utile à chaque investigation. Il faut aussi savoir que la gestion de la collection de détections d’une entreprise demande aux ingénieurs bien trop d’efforts manuels de suivi et de mise à jour.

Pour résoudre ce problème, Splunk Enterprise Security 8.0 comprend désormais des détections plus performantes qui permettront aux entreprises de repérer et corriger plus rapidement les menaces. Nous aidons également les analystes à élaborer et à mettre en œuvre une stratégie de détection basée sur le risque en fournissant des outils prêts à l’emploi pour créer des alertes agrégées offrant le plus haut degré de confiance, indispensables pendant les investigations. Grâce à ces outils sophistiqués de détection des menaces, les analystes se concentrent sur les incidents critiques et gagnent du temps. Nous ajoutons également à Splunk Enterprise Security une gestion native et automatique des versions des détections ESCU et des détections propres aux clients.

Une terminologie simplifiée pour l’analyse de sécurité 

Les analystes doivent souvent composer avec un manque de cohérence dans la terminologie employée par les différents composants de l’écosystème de sécurité, en particulier lorsqu’ils travaillent avec de multiples produits et des silos de données qui leur compliquent encore la tâche.

Dans Splunk Enterprise Security 8.0, nous avons simplifié la terminologie des workflows TDIR pour offrir aux analystes une expérience homogène. La nouvelle taxonomie respecte l’Open Cybersecurity Schema Framework (OCSF) pour permettre à votre équipe de sécurité de comprendre exactement ce sur quoi elle travaille dans Splunk Enterprise Security. En tant que membre fondateur de l’OCSF, Splunk soutient le développement d’une norme industrielle visant à simplifier et à accélérer l’importation et l’analyse des données de sécurité. En nous alignant sur l’OCSF dans Splunk Enterprise Security, nous décloisonnons les données pour aider les équipes à détecter, investiguer et prendre en charge les menaces de façon plus rapide et efficace.

Splunk Enterprise Security 8.0 sera accessible au grand public pour les environnements cloud et sur site en septembre 2024.

Nous sommes à votre écoute ! Si vous avez des idées ou des questions, n’hésitez pas à en faire part sur Splunk Ideas. Pour en savoir plus sur Splunk Enterprise Security, visitez notre site web.

Suivez toutes les conversations liées à #splunkconf24 !

¹ Rapport ESG : Tendances du marché SOC

² État de la cybersécurité 2023