Une sécurité unifiée pour des processus de détection, d’investigation et de réponse optimisés

Imaginez ce scénario :

vous êtes analyste de sécurité dans un SOC. L’un de vos outils de sécurité vous alerte d’un problème. Que se passe-t-il ensuite ?

• L’alerte est ajoutée à une file d’attente de 80 autres alertes, dont vous ne pourrez pas traiter la moitié avant la fin de journée.
• Malheureusement, vos outils de sécurité ne sont pas tous capables d’analyser ces alertes et de vous dire lesquelles prioriser.
• Est-ce que cette nouvelle alerte est enrichie grâce à la threat intelligence ? Non, c’est une étape que vous devrez accomplir manuellement.
• Est-ce que l’alerte vous donne davantage de contexte sur l’événement ? Dans vos rêves !
• Quoi qu’il en soit, le temps presse. Vous commencez l’investigation et jonglez entre plus de 20 outils de sécurité et consoles de gestion pour savoir ce qu’il s’est passé et procéder au tri.
• Vous répondez à l’alerte sur vos différents outils, mais chaque action est réalisée manuellement.
• Enfin, après au moins 45 minutes, vous résolvez l’incident et passez à l’alerte suivante dans votre file d’attente.

Récapitulons ce qu’il vient de se passer.

Vous avez suivi les étapes habituelles de détection, d’investigation et de réponse aux menaces (TDIR). Mais cela n’a pas été une partie de plaisir. Cela vous a demandé beaucoup de temps, d’efforts et de travail manuel. Comment faire pour changer les choses ? Comment pouvez-vous détecter, investiguer et répondre plus efficacement et rapidement ? Comment passer d’un taux de faux positifs de 30 % à un taux proche de zéro ? Comment réduire les volumes d’alertes de 80 % ? Comment réduire la durée de ce processus de 45 minutes à 45 secondes ?

Détection et investigation

ous commencez par détecter les menaces et analyser les données avec une solution SIEM de pointe. Splunk Enterprise Security est la seule solution SIEM désignée leader dans les trois grands rapports SIEM de Gartner, Forrester et IDC. Pour autant, nous ne nous reposons pas sur nos lauriers. Nous continuons d’innover rapidement :

• Splunk Enterprise Security vous donne davantage de visibilité pour vous aider à prendre de meilleures décisions plus vite, notamment grâce à des fonctionnalités telles que la visualisation de la topologie des menaces pour évaluer rapidement l’ampleur d’un incident et y répondre de manière adaptée, ou la visualisation de MITRE ATT&CK pour améliorer l’efficacité des workflows de sécurité avec des frameworks intégrés.
• Nous avons mis à jour les alertes basées sur les risques afin d’améliorer leur fidélité et leur priorisation pour vous aider à réduire les volumes d’alertes de 80 %.
• Nous avons intégré TruSTAR, rebaptisé Splunk Threat Intelligence Management, à Splunk Enterprise Security afin que la threat intelligence soit systématiquement incorporée à vos alertes, ce qui vous fait gagner du temps pendant vos investigations.
• La Splunk Threat Research Team continue de fournir de nouvelles recherches et détections basées sur le machine learning pour que votre organisation garde une longueur d’avance et soit protégée face aux dernières menaces.
• Et ce n’est pas tout. Nous travaillons actuellement sur plusieurs nouvelles fonctionnalités. Nous sommes d’ailleurs très satisfaits des suggestions de fonctionnalités envoyées par nos clients via Splunk Ideas. Continuez à les envoyer et ensemble, nous pourrons réussir à garder une longueur d’avance sur les malfaiteurs.

Vous avez détecté une menace et commencé l’investigation. C’est le moment d’analyser l’attaque en détail pour la comprendre et y répondre rapidement. C’est là que Splunk Attack Analyzer (anciennement TwinWave) intervient pour assurer l’analyse automatisée des menaces afin de mettre au jour les chaînes d’attaque utilisées par les malfaiteurs pour échapper à la détection. Splunk Attack Analyzer simplifie le processus d’analyse des attaques de phishing et par malware en offrant aux analystes SOC une vue complète sur ces menaces et les techniques utilisées. Avec Splunk Attack Analyzer, vous pouvez :

• améliorer l’efficacité de la détection en exploitant plusieurs couches de techniques de détection d’attaques de phishing et par malware, avec notamment une solution sandbox intégrée ; 
• visualiser l’analyse des menaces indiquant les détails techniques des attaques, dont une archive des artefacts de menaces à différents moments depuis leur signalement ; 
• intégrer le processus directement dans Splunk SOAR et les autres produits SOAR pour entièrement automatiser un workflow complet d’analyse et de réponse aux menaces de bout en bout.   

Contrairement aux solutions d’isolement traditionnelles, Attack Analyzer utilise une approche innovante d’analyse automatisée des menaces. Il permet de suivre automatiquement plusieurs vecteurs d’une chaîne d’attaques, tels que l’accès à du contenu malveillant, le téléchargement de fichiers ou la saisie de mots de passe pour ouvrir des archives pour obtenir le payload final, qui peut ensuite être analysé. 

Pour en savoir plus sur Splunk Attack Analyzer, consultez cet article de blog ou rendez-vous sur la page de Splunk Attack Analyzer. 

Réponse 

Le moment est venu de réagir. Allez-vous le faire manuellement ? Bien sûr que non ! Utilisez Splunk SOAR, une solution d’orchestration et d’automatisation qui réalise automatiquement les différentes opérations d’investigation et de réponse dans le cadre de vos workflows de sécurité. Tel un chef d’orchestre, Splunk SOAR utilise des playbooks d’automatisation pour dire à vos différents outils d’effectuer des actions conformément à vos processus prédéterminés. Des processus qui prenaient 45 minutes auparavant ne prennent plus que 45 secondes. Certaines des dernières innovations de Splunk SOAR incluent :

• Des ensembles de playbooks préintégrés pour vous aider à résoudre des scénarios d’utilisation de sécurité courants, comme le traitement des tentatives de phishing avec l’analyse de la réputation des identifiants ou la traque des menaces en interrogeant plusieurs solutions de sécurité pour déterminer si un des artefacts présents dans vos sources de données a été observé dans votre environnement.
• Plus de 400 intégrations technologiques avec Splunk SOAR, et ce n’est pas fini !
• Nous avons également intégré des éléments clés du SOAR, tels que l’exécution et l’analyse de résultats de playbooks, dans notre interface d’opérations de sécurité unifiées, Splunk Mission Control.

Unification

Comme nous venons de le voir, les outils de sécurité de Splunk vous permettent de détecter, d’investiguer et de répondre aux menaces rapidement et efficacement. Mais maintenant, vous pouvez unifier vos opérations de sécurité sur l’ensemble de ces workflows à l’aide d’un environnement de travail unique. En mars 2023, Splunk a annoncé la nouvelle version améliorée de Splunk Mission Control, qui met à disposition une console de gestion unique basée sur le cloud regroupant le SIEM, le SOAR, la threat intelligence et l’analyse au sein d’un environnement de travail unifié pour rationaliser vos workflows et augmenter l’efficacité de votre SOC. Avec Splunk Mission Control, vous pouvez :

• unifier les fonctionnalités de détection, d’investigation et de réponse pour déterminer les risques et traiter les incidents plus rapidement,   
• simplifier les workflows de sécurité en codifiant vos processus dans des modèles de réponse pour obtenir des processus d’investigation et de réponse reproductibles et automatisés,
• aider et moderniser vos équipes de sécurité grâce à la vitesse et l’efficacité de l’automatisation de la sécurité.

Vous participez à .conf23 ? Consultez le programme ! 

Si vous participez à .conf23 à Las Vegas cette semaine, n’oubliez pas de consulter le programme des sessions et des ateliers interactifs que nous proposons pour toutes nos technologies de sécurité. Connectez-vous à l’application ou au site web de .conf23 et recherchez l’une des solutions de sécurité indiquées ci-dessus pour découvrir comment nos dernières innovations peuvent vous permettre de résoudre vos défis de sécurité les plus urgents. Il y en aura pour tous les goûts. Voici un aperçu de certaines des sessions principales :

• SEC1413A - Guide complet de la sécurité de Splunk : nouveautés et avenir (A Comprehensive Guide to Splunk Security: What's New and What's Next?)
• SEC1310A - Guide pratique de Splunk® Mission Control : Houston, nous n’avons aucun problème (A Beginner’s Guide to Splunk® Mission Control: Houston, We Don’t Have a Problem)
• SEC1312A - Lancez-vous avec Splunk® Mission Control : atelier interactif (Reach Liftoff With Splunk® Mission Control - A Hands-on Workshop)
• SEC1412A - Présentation de Splunk® Attack Analyzer (Introduction to Splunk® Attack Analyzer)
• SEC1979B - Familiarisez-vous avec Splunk® Enterprise Security (Get Hands-on With Splunk® Enterprise Security)
• SEC1349B - Les jeux de l’automatisation : atelier interactif avec Splunk SOAR (Automation Games - A Hands-on Workshop with Splunk SOAR)
• SEC1691B - Exploitez tout le potentiel de l’UBA : nouveautés et avenir (Unleashing the Power of UBA: What's New and What's Next)

Nous sommes impatients de vous retrouver à .conf23 ! 

Suivez toutes les conversations liées à #splunkconf23!

Suivre @splunk