Impossible d’y couper : les menaces de cybersécurité, les perturbations des systèmes IT et les événements indésirables sont inévitables. Face à ces incidents, les organisations doivent assurer la sécurité et la fiabilité de leurs systèmes. Elles doivent être capables de détecter, d’investiguer et de réagir précisément et rapidement ; de s’adapter au plus vite quand le macro-environnement l’exige ; et enfin de tirer les enseignements nécessaires de ces expériences pour mieux répondre à ce type d’événements à l’avenir. Ces qualités définissent une organisation numériquement résiliente.
Malheureusement, de nombreux obstacles empêchent les équipes SecOps, ITOps et DevOps d’aider leurs organisations à renforcer leur résilience numérique.
- Ces équipes ont bien souvent du mal à détecter, investiguer et réagir rapidement et efficacement aux incidents de sécurité et IT à cause d’un manque de visibilité contextuelle et de la fragmentation des outils (et des équipes), qui ne partagent pas les informations et ne collaborent pas.
- Les informations de sécurité et IT sont disséminées dans plusieurs interfaces et outils, ce qui empêche les équipes d’avoir rapidement une vue d’ensemble de la situation.
- Les processus de sécurité, de développement et IT sont généralement lents et complexes, ce qui ralentit les délais de traitement des incidents.
- Et comme de nombreuses équipes SecOps, ITOps et DevOps doivent dépanner et répondre manuellement au déluge quotidien d’alertes de menaces et d’incidents IT, elles se retrouvent constamment submergées – prisonnières d’une approche réactive, systématiquement acculées et incapables de prendre des mesures proactives pour protéger l’entreprise.
Aujourd’hui, Splunk annonce des innovations et des améliorations pour sa plateforme unifiée de sécurité et d’observabilité afin d’aider ses clients à surmonter ces défis et à renforcer leur résilience numérique. Grâce à Splunk, les équipes SecOps, ITOps et DevOps peuvent :
- unifier les workflows de détection, d’investigation et de réponse aux menaces sur leurs solutions SIEM, SOAR et de threat intelligence au sein d’un environnement de travail unique, Splunk Mission Control, pour résoudre plus rapidement les incidents de sécurité ;
- simplifier les workflows de sécurité et IT, rationaliser le traitement des données et dépanner les incidents plus rapidement grâce à une meilleure visibilité, offerte par Splunk Mission Control, Splunk Observability Cloud et Edge Processor dans Splunk Cloud Platform ;
- moderniser les processus SecOps, ITOps et DevOps via des fonctionnalités d’automatisation intégrées dans Splunk Mission Control et Splunk Application Performance Monitoring. Les équipes peuvent ainsi répondre aux incidents efficacement et à grande échelle, être soulagées des tâches manuelles et passer à une approche proactive pour protéger l’entreprise.
Scott Seager, DSI chez GNC, affirme : « En tant que détaillant, il est essentiel d’offrir une expérience numérique sécurisée et fluide à nos clients. Grâce à la plateforme unifiée de sécurité et d’observabilité de Splunk, nous disposons d’une visibilité complète sur notre branche e-commerce et sommes capables de détecter et de résoudre plus efficacement les perturbations affectant nos clients – qu’il s’agisse d’une menace de sécurité ou d’une page web inaccessible. »
Renforcez votre résilience numérique avec l’unification des opérations de sécurité
Le monde des opérations de sécurité regorge de défis empêchant les organisations de développer leur résilience numérique. Les fonctionnalités de détection, d’investigation et de réponse aux menaces sont dispersées dans des systèmes différents et des outils de sécurité cloisonnés. Il est donc difficile pour les équipes d’obtenir une vue complète des événements de sécurité, d’apporter une réponse coordonnée et de résoudre les incidents rapidement et efficacement. Le déluge quotidien d’alertes de sécurité et l’apparition de nouvelles attaques complexes submergent le SOC. Cela se traduit par des retards de traitement des incidents augmentant considérablement les risques. Étant donné que les équipes doivent investiguer et répondre manuellement à ces événements, les investigations prennent des heures. Les analystes ne peuvent pas traiter les incidents suffisamment rapidement pour garder une longueur d’avance sur les menaces. Le SOC se retrouve donc constamment acculé et contraint d’adopter une approche réactive.
Le moment est venu de remettre de l’ordre dans le chaos des opérations de sécurité. La solution d’opérations de sécurité unifiées de Splunk associe analyse de sécurité (Splunk Enterprise Security), automatisation et orchestration (Splunk SOAR) et threat intelligence au sein d’un environnement de travail unique pour offrir à votre SOC une expérience d’opérations de sécurité unifiée, simplifiée et moderne. Détectez, investiguez et réagissez plus rapidement ; automatisez les tâches manuelles pour décupler l’efficacité de votre équipe ; et intégrez la cyber-résilience et la résilience numérique à la structure opérationnelle de votre SOC.
Avec Splunk Mission Control, vous pouvez :
- Unifier les fonctionnalités de détection, d’investigation et de réponse afin d’agir plus rapidement sur la base des informations importantes. En unifiant les workflows de détection, d’investigation et de réponse, les équipes de sécurité peuvent obtenir une visibilité complète sur les informations et les tendances de sécurité, déterminer les risques plus rapidement et arrêter de basculer entre les solutions SIEM, SOAR, de threat intelligence et autres consoles de gestion de la sécurité. Le temps moyen de détection, d’investigation et de réponse aux incidents de sécurité s’en retrouve réduit, et les équipes peuvent ainsi traiter les incidents plus rapidement.
- Simplifier vos workflows de sécurité en codifiant vos processus dans des modèles de réponse prédéfinis. Splunk Mission Control permet aux équipes d’améliorer le respect des processus SOC en codifiant les procédures opérationnelles de sécurité dans des modèles prédéfinis. Cela permet à votre équipe de créer des processus reproductibles afin de commencer les investigations plus rapidement en cas d’incident de sécurité, et à terme, d’acquérir une position de sécurité plus robuste.
- Moderniser vos opérations de sécurité grâce à la vitesse de l’automatisation de la sécurité. Menez les investigations et apportez une réponse en quelques minutes voire secondes (et non plus en plusieurs jours ou plusieurs heures) en automatisant les processus de sécurité manuels et répétitifs sur l’ensemble de votre pile de sécurité intégrée. Déployez des playbooks dans Mission Control pour automatiser les tâches d’investigation et de réponse selon des modèles de réponse prédéfinis. Il n’y a plus besoin de basculer entre plusieurs consoles de gestion pour passer des workflows de détection aux workflows d’investigation et de réponse. Gagnez du temps pour vous concentrer sur vos objectifs principaux et adopter des opérations de sécurité plus agiles et proactives.
Pour en savoir plus, rendez-vous sur https://www.splunk.com/fr_fr/products/mission-control.html.
Accélérer le dépannage et remettre de l’ordre dans les astreintes avec Splunk Observability Cloud
Les équipes ITOps et DevOps offrent de la valeur grâce à de nouvelles fonctionnalités et produits. Cependant, à mesure que les organisations modernisent leur infrastructure, leurs applications et l’expérience des utilisateurs finaux, elles font face à une complexité croissante et à des surfaces de travail à dépanner plus importantes. Ces problèmes viennent s’ajouter au cloisonnement des outils entre les équipes et les fonctions. Les changements d’interface entre de trop nombreux outils de gestion des incidents IT sont devenus monnaie courante. Les équipes ont besoin de plus de visibilité sur l’ensemble de leur environnement et doivent corréler manuellement les données pour déterminer la cause profonde des incidents. Cela se traduit par une résolution des incidents réactive, des interventions nocturnes et des délais de réponse lents.
Parallèlement, les ingénieurs DevOps et les SRE rencontrent des problèmes similaires. L’utilisation de nombreux outils cloisonnés nécessitant une corrélation et des processus manuels pour répondre aux incidents et la réception d’alertes fréquentes avec trop peu de contexte pendant les rotations d’astreinte engendrent des délais de réponse lents et un mauvais MTTA/MTTR.
C’est pourquoi Splunk annonce plusieurs nouvelles améliorations d’Observability Cloud afin d’aider les équipes à dépanner plus rapidement en bénéficiant d’une meilleure visibilité sur l’ensemble de leurs environnements et d’une approche plus unifiée de la réponse aux incidents. Les équipes profitent maintenant d’un contexte beaucoup plus riche de l’expérience de l’utilisateur final via le réseau cloud et sur toutes les transactions, ainsi que des alertes plus fiables. Elles peuvent ainsi réagir plus efficacement et remettre de l’ordre dans les astreintes, le tout au sein d’une interface unique.
Splunk Observability vous permet de :
- Moderniser l’ITOps avec l’automatisation des alertes et l’unification de la réponse aux incidents afin de remettre de l’ordre dans les astreintes. Les équipes peuvent maintenant résoudre les incidents plus rapidement grâce à des alertes plus précises et une approche unifiée de la réponse aux incidents. Splunk Incident Intelligence fournit aux équipes DevOps responsables des astreintes les données dont elles ont besoin pour diagnostiquer, corriger et restaurer les services avant que leurs clients ne soient affectés. L’efficacité et la coordination de l’équipe d’astreinte s’en retrouvent grandement améliorées. Les nouvelles fonctionnalités d’AutoDetect dans Splunk APM utilisent le machine learning pour améliorer considérablement la fiabilité des alertes de service, tout en réduisant le travail de configuration manuel nécessaire. Grâce à ces innovations, les équipes IT et DevOps profitent d’alertes plus fiables et de workflows rationalisés pour passer rapidement de l’alerte à la résolution et réduire leur MTTA et leur MTTR.
- Simplifier les workflows de dépannage avec une meilleure visibilité sur l’ensemble de votre environnement. Splunk Observability Cloud offre une visibilité sur chaque session et transaction des utilisateurs pour les architectures monolithiques ou à microservices. Pour chaque session d’utilisateur problématique ou problème de tag sur l’ensemble de votre réseau et de vos clusters Kubernetes, vos équipes disposent désormais d’une meilleure visibilité et davantage de contexte pour procéder aux dépannages plus rapidement et comprendre l’impact des problèmes sur les utilisateurs finaux. Avec IM Network Explorer, les équipes DevOps peuvent facilement superviser et évaluer la santé du réseau cloud et profiter d’une vision claire de leur environnement cloud et de la topologie du réseau afin de pouvoir résoudre les problèmes plus rapidement. APM Trace Analyzer détecte les tendances parmi des milliards de transactions pour aider les équipes IT et DevOps à identifier les problèmes spécifiques pour chaque utilisateur ou service afin de pouvoir procéder au dépannage des problèmes en toute confiance.
Pour en savoir plus, rendez-vous sur https://www.splunk.com/fr_fr/products/observability.html.
Simplifier le traitement des données en périphérie avec Edge Processor dans Splunk Cloud Platform
Afin d’aider les experts ITOps à rendre leur entreprise numériquement résiliente, Splunk Edge Processor leur offre de nouvelles informations et un meilleur contrôle sur le volume et le contenu de leurs données avant qu’elles ne quittent leur réseau. Proposé dans le cadre d’une offre cloud avec des métriques indiquant ses performances, les clients de Splunk Cloud Platform profiteront d’une visibilité améliorée sur les données en mouvement, d’une meilleure efficacité de la transformation des données et davantage de flexibilité pour évoluer rentablement.
- Obtenir une visibilité en temps réel sur les données de flux. Splunk Edge Processor met à disposition une console de gestion et de configuration dans le cloud. C’est là que sont rédigées les règles de traitement, qui sont ensuite distribuées dans des clusters Edge Processor qui exécutent le traitement dans les locaux des clients. Ainsi, les clients peuvent obtenir des flux de données en quelques minutes et profiter d’une meilleure visibilité sur tous les flux de données entrants et sortants, avec des métriques et de la télémétrie. Cela améliore la convivialité mais permet également aux équipes IT de réagir plus rapidement en cas de problème, ce qui renforce la résilience numérique.
- Améliorer l’efficacité de la transformation de vos données. Edge Processor utilise le SPL2, le langage de recherche et de préparation des données nouvelle génération du portefeuille de Splunk. Il permet aux clients d’enrichir les champs d’un événement afin de filtrer, masquer et aiguiller les données. Par conséquent, les clients peuvent contrôler les coûts et les frais généraux de transfert et de stockage des données, s’assurer que les données confidentielles ne quittent pas le périmètre défini, être sûrs de collecter toutes les données dont ils ont besoin et garantir l’acheminement des données au bon endroit et au bon format.
- Évoluer de manière rentable et en toute flexibilité. Edge Processor permet de réaliser la gestion et la configuration via une interface intégrée à Splunk Cloud Platform, mais le traitement des données en lui-même a lieu dans des nodes gérées par les clients. Les processeurs installés dans les locaux des clients sont très performants et peuvent être déployés en cluster avec plusieurs instances et gérés en groupe. Un seul cluster peut évoluer pour prendre en charge le trafic en périphérie de l’ensemble d’une entreprise ou affecter des clusters à des datacenters ou des unités commerciales régionales pour des raisons de souveraineté des données.
Pour en savoir plus, rendez-vous sur https://www.splunk.com/fr_fr/products/splunk-cloud-platform.html.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.