Splunk Enterprise Security

La Splunk Threat Research Team étudie l’ingénierie de la détection pour vous proposer plus de 1 700 détections prêtes à l’emploi et conformes aux grands frameworks industriels, MITRE en tête. L’objectif : vous permettre de détecter et corriger plus rapidement les menaces. Enregistrez simplement et efficacement de nouvelles versions des détections en utilisant le contrôle automatique et natif des versions et en restaurant en un clic des versions antérieures.

Accédez aux plus de 2 200 partenaires du réseau de Splunk et aux plus de 2 800 applications de Splunkbase, développées par la communauté et nos partenaires pour s’intégrer en toute simplicité à vos outils existants.

Agrégez automatiquement les détections sur la base de règles prédéfinies découlant de techniques de regroupement et de calculs courants dans le domaine de la sécurité : entités similaires, score de risque cumulatif, seuils MITRE ATT&CK, etc. Cette vue agrégée offre aux analystes une image complète de toutes les détections haute fidélité connexes en un seul clic.

Réunissez les workflows de détection, d’investigation et de réponse avec Mission Control. Assurant une intégration native avec la solution SOAR haut de gamme de Splunk, les playbooks automatisés bénéficient de threat intelligence qui puise à toutes les sources de données et en normalise les scores. Directement intégrés à Splunk Enterprise Security, les plans de réponse permettent aux utilisateurs de collaborer et de mener à bien des workflows de réponse aux incidents face aux scénarios de sécurité courants, sans difficulté.

Élaborez et mettez en œuvre une stratégie de détection basée sur le risque à l’aide d’outils prêts à l’emploi pour créer des alertes agrégées offrant le plus haut degré de confiance, indispensables pendant les investigations. Ces détections sophistiquées permettent aux analystes de s’appuyer sur une stratégie d’alerte basée sur le risque afin de créer en toute flexibilité des alertes agrégées haute-fidélité pour mener des enquêtes approfondies. 

Les alertes basées sur le risque (RBA) utilisent le cadre de recherche de corrélation de Splunk Enterprise Security pour collecter les événements de risque et les centraliser dans un seul index des risques. Lorsqu’ils répondent à un critère spécifique, les événements recueillis deviennent un notable de risque unique. Les analystes peuvent ainsi se concentrer sur les menaces imminentes qui peuvent échapper aux solutions SIEM traditionnelles.