L’IA Splunk : catalyseur de la résilience numérique pour la cybersécurité et l’observabilité

L’intelligence artificielle (IA) a le potentiel de révolutionner notre secteur. Chez Splunk, nous la voyons comme un catalyseur de la résilience numérique, un moyen d’accélérer la prise de décision humaine au service de la détection, de l’investigation et de la réponse aux incidents.

Pour les entreprises modernes, l’IA est à la fois source de menaces et d’opportunités. L’envoi de données aux fournisseurs d’IA tiers peut entraîner des problématiques de conformité et de confidentialité. L’IA élargit la surface d’attaque des organisations en les exposant à des attaques de pirates, des attaques par empoisonnement et des vols de modèle. De plus, le nombre de malfaiteurs n’a jamais été aussi élevé, l’IA facilitant toujours plus la création de nouvelles techniques d’attaque. Ajoutez à cela les défis qui découlent de l’utilisation de modèles imprécis pouvant conduire à prendre de mauvaises décisions. Tout cela provoque encore plus de maux de tête pour les personnes en charge de la disponibilité des services et de la sécurité des organisations.

D’autre part, l’IA offre une myriade d’opportunités pour les équipes SecOps, ITOps et d’ingénierie. Elle peut aider à détecter les événements importants en minant automatiquement les données pour révéler les signaux et les incidents majeurs. Elle peut donner du contexte et une vue d’ensemble de la situation grâce à une synthétisation et à une interprétation intelligentes des événements, et peut également accélérer les courbes d’apprentissage. Elle peut également améliorer drastiquement la productivité et l’efficacité en soulageant les utilisateurs des tâches rébarbatives et leur permettre de se focaliser sur des activités à plus forte valeur ajoutée. Selon nous, les avantages de l’IA dépassent largement ses inconvénients. C’est pourquoi nous augmentons nos investissements pour perfectionner nos capacités d’IA.

Splunk adopte une approche réfléchie et délibérée en matière d’IA, motivée par trois grands principes.

• Fonctionnalités spécifiques au domaine et à Splunk : nos capacités d’IA sont spécifiques aux cas d’usage de sécurité et d’observabilité et peuvent être étroitement intégrées à votre workflow.
• Intervention humaine :les clients de Splunk assurent la fiabilité et les performances des systèmes numériques les plus importants au monde. Les enjeux sont très élevés. Il est essentiel que l’IA aide à la prise de décision humaine.
  
• Ouverture et extensibilité : nous prévoyons d’intégrer directement davantage d’IA à la plateforme et allons également permettre à nos clients et à nos partenaires d’élargir nos modèles ou d’importer les leurs conformément à leurs politiques et à leur tolérance aux risques. Ces modèles peuvent fonctionner avec des données contenues dans Splunk et avec des données sur d’autres dépôts de données, offrant ainsi des solutions flexibles.

Nous considérons l’IA comme une discipline à part entière depuis 2015, aussi bien sous la forme de capacités de produits intégrées que d’outils de ML personnalisables. Le ML fait par ailleurs partie intégrante des fonctionnalités de recherche de base de nos produits. Nous proposons également des fonctionnalités d’analyse des anomalies comportementales et des détections basées sur le ML dans Splunk Enterprise Security et Splunk User Behavior Analytics. Notre portefeuille de solutions d’observabilité dispose de nombreuses fonctionnalités d’IA et de ML, telles que l’analyse prédictive, la réduction du bruit des alertes, la détection des anomalies, la création de seuils adaptatifs, la détection automatique des alertes et la corrélation des incidents. Nos offres de ML personnalisables pour Splunk Platform incluent le Machine Learning Toolkit avec des workflows guidés et des assistants intelligents pour les utilisateurs de tous niveaux, Splunk App for Data Science and Deep Learning (DSDL) pour les cas d’usage d’IA avancés et personnalisés avec des outils de data science, et l’extension Python for Scientific Computing avec des bibliothèques spécifiques à l’IA. Toutes ces capacités sont au service de notre objectif final : construire un monde numérique plus sûr et plus résilient, dont l’IA est le catalyseur.

Pendant .conf23, nous avons publié un large éventail de fonctionnalités d’IA, à commencer par nos innovations pour la Splunk Platform, toutes disponibles sur Splunkbase dès aujourd’hui.

Splunk Platform

• Splunk AI Assistant (version anticipée) : version améliorée de SPL Copilot, notre assistant IA utilise l’IA générative pour offrir une expérience de chat aidant les clients à rédiger et à apprendre le langage SPL en interagissant en anglais et en proposant des suggestions, des explications et des descriptions détaillées de requêtes.
• Splunk App for Anomaly Detection : cette application permet aux utilisateurs de Splunk de détecter les anomalies contenues dans leurs métriques et ensembles de données chronologiques à l’aide d’algorithmes de machine learning puissants en seulement quelques clics, tout en proposant un workflow d’opérationnalisation de bout en bout pour simplifier la création et l’exécution de projets de détection et le déclenchement d’alertes basées sur ces projets.
• Machine Learning Toolkit (MLTK) 5.4 : le MLTK simplifie le machine learning pour de nombreux utilisateurs grâce à une assistance pas à pas qui aide à configurer des processus de détection d’anomalies, d’analyse prédictive et de clustering de données. De plus, il permet maintenant aux utilisateurs d’uploader leurs modèles ONNX pré-entraînés en externe avec une interface simple puis d’utiliser le modèle avec leurs données Splunk sans avoir à modifier leur workflow existant.
• Splunk App for Data Science and Deep Learning (DSDL) 5.1 : cette application améliore le MLTK avec des systèmes de machine learning et de deep learning personnalisés avancés et inclut maintenant deux nouveaux assistants d’IA de traitement du langage naturel qui permettent aux clients d’utiliser des grands modèles de langage (LLM) pour créer et entraîner des modèles avec leurs données de domaine pour les cas d’usage de résumé et de classification de texte.

Security

Pour mettre à disposition des équipes SecOps des processus de détection des menaces rapides, nous avons ajouté au cours de l’année écoulée :

• 6 détections basées sur le ML dans Splunk Enterprise Security Content Update (ESCU) développées par notre Threat Research Team pour aider les clients à faire face à des menaces de sécurité urgentes.

Observability

Pour accélérer la détection et accélérer la rentabilisation pour les équipes ITOps, nous avons intégré de nouvelles capacités de ML dans IT Service Intelligence (ITSI) 4.17 :

• Outlier Exclusion for Adaptive Thresholding détecte et omet les points de données anormaux ou les anomalies (les perturbations du réseau ou les pics de défaillances par exemple) pour établir des seuils dynamiques plus précis afin d’assurer des détections précises au sein de l’environnement IT.
• Le nouveau ML-Assisted Thresholding (version anticipée) utilise les motifs et les données historiques pour créer des seuils dynamiques en un seul clic, permettant la création d’alertes plus précises concernant la santé de l’environnement technologique d’une organisation.

Les possibilités d’utilisation de l’IA au sein des équipes SecOps, ITOps et d’ingénierie sont nombreuses. Notre vision pour l’IA Splunk est de nous appuyer sur nos bases d’IA solides mais d’intégrer l’intelligence artificielle plus étroitement dans le workflow quotidien des utilisateurs de Splunk. Nous souhaitons mettre à disposition nos informations dans les domaines de la sécurité et de l’observabilité tout en vous permettant de tirer des informations de votre environnement Splunk. Nous souhaitons améliorer et accélérer vos processus de détection, d’investigation et de réponse aux incidents. Nous souhaitons que les capacités d’IA de nos produits fassent office de catalyseur de la résilience numérique de votre organisation.   

Suivez toutes les conversations liées à #splunkconf23!

Suivre @splunk