Dans la nouvelle version 7.2 de Splunk Enterprise Security, nous avons le plaisir de présenter des fonctionnalités qui enrichissent et simplifient les enquêtes, offrent une visibilité accrue et réduisent la charge de travail manuel. Vous pourrez personnaliser les workflows d’investigation pour accélérer la prise de décision. La majorité de ces nouveautés et améliorations ont été demandées directement par les utilisateurs de Splunk Enterprise Security (ES) et soumises via le portail Splunk Ideas. Continuez à nous faire part de vos excellentes suggestions, nous sommes à l’écoute !
Grâce à ces nouvelles fonctionnalités, ES vous aide à voir davantage, à agir plus rapidement et à simplifier vos enquêtes. Explorons tout cela ensemble !
Les analystes de sécurité doivent réduire la part de travail manuel. Avec la nouvelle fonction d’actualisation automatique dans l’Examen des incidents, ES présente automatiquement au SOC les événements les plus récents. Les administrateurs peuvent désormais personnaliser et contrôler la fréquence de l’actualisation automatique. Les analystes ont ainsi l’assurance de voir les événements notables les plus récents, ce qui les aide à prendre des décisions efficaces et rapides et leur fait gagner du temps en réduisant le travail manuel.
De plus, si les analystes de sécurité peuvent déjà hiérarchiser les événements notables au sein de Splunk Enterprise Security, ils souhaitent aussi souvent les visualiser par date et heure. Pour cette raison, nous réintroduisons la fonction Chronologie dans Examen des incidents. Les analystes peuvent désormais visualiser les événements associés sur une période spécifique. Cette chronologie interactive de notables délivre rapidement un aperçu des activités anormales, comme un nombre inhabituellement élevé de notables à une certaine heure, ce qui facilite le traitement prioritaire des incidents critiques urgents.
Les grands centres d’opérations de sécurité qui abritent plusieurs équipes ont souvent du mal à prendre des décisions rapides lorsqu’ils sont submergés d’événements de sécurité. ES 7.2 apporte des améliorations facultatives au tableau de bord Examen des incidents, afin de personnaliser l’expérience lors des enquêtes sur des événements notables.
Les analystes peuvent désormais personnaliser et configurer le tableau de bord Examen des incidents à l’aide de filtres et de colonnes qui permettent aux praticiens d’examiner les événements qui les intéressent. Ils peuvent désormais enregistrer des vues de leur tableau de bord Examen des incidents personnalisé et les partager avec d’autres analystes de sécurité. Des analystes avec des cas d’utilisation différents peuvent ainsi échanger leurs vues personnalisées d’événements notables avec leurs collègues qui enquêtent sur les incidents pour une collaboration transparente. Les administrateurs Splunk ES ont également accès à un nouveau niveau de contrôle sur l’expérience des analystes dans Examen des incidents : ils peuvent notamment configurer des vues par défaut pour tous les utilisateurs.
Les mises à jour Splunk Enterprise Security 7.2 sont disponibles dès aujourd’hui dans les environnements cloud et sur site. Comme nous l’avons mentionné, la majorité des nouveautés de cette version répondent à des demandes directes des utilisateurs. Nous vous écoutons ! Si vous avez des idées et des demandes, n’hésitez pas à les soumettre à Splunk Ideas.
Prêt à vous plonger dans Enterprise Security 7.2 ? Inscrivez-vous à notre Tech Talk !
Pour en savoir plus sur Splunk Enterprise Security 7.2, consultez les notes de version et le site web Splunk Enterprise Security.
Bon Splunking !
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.