Nous pouvons désormais identifier les vulnérabilités de nos systèmes, ce que nos précédentes plateformes ne nous permettaient pas de faire. Avec Splunk, nous avons tout ce qu’il nous faut pour renforcer notre stratégie de sécurité et mieux protéger les actifs et les informations de Soriana.
Splunk et Google Chronicle
Splunk Enterprise Security vous offre une visibilité complète, assure une détection précise et contextualisée, et optimise l’efficacité des opérations de sécurité. Détectez les événements qui comptent, menez des investigations approfondies et réagissez sans délai. La seule solution SIEM désignée leader dans trois rapports d’analystes majeurs.
Google Chronicle
Manque de choix et de flexibilité concernant l’architecture
Dans le paysage informatique actuel qui évolue rapidement, où plus de 80 % des organisations utilisent des environnements multicloud, le fait que Google Chronicle ne puisse être déployé que sur Google Cloud Platform devient un inconvénient majeur. Les entreprises ont besoin de plus de flexibilité dans leurs stratégies cloud.
L’avantage de Splunk
Splunk offre la flexibilité et le choix dont le SOC d’aujourd’hui a besoin pour réussir dans ce paysage dynamique. Que vous ayez choisi un cloud ou un autre, une infrastructure hybride ou sur site, nous vous permettons de garder le contrôle sur l’ensemble de votre architecture, aujourd’hui et demain.
Google Chronicle
Manque de contexte pour la détection des menaces
Google Chronicle présente des limites visibles en matière de contenu de détection prêt à l’emploi. Les clients sont donc contraints d’investir plus de temps et de ressources dans le développement de règles de détection. De plus, du fait de leur complexité, les fonctions de corrélation avancée, d’alerte et de notation des risques personnalisable de Chronicle peuvent créer un déluge d’alertes susceptible de retarder le traitement des menaces à haut risque.
L’avantage de Splunk
Splunk Enterprise Security est fourni avec plus de 1 500 détections soigneusement sélectionnées et alignées sur les frameworks industriels élaborés par la Splunk Threat Research Team. Notre système unique d’alertes basées sur le risque (RBA) évite de submerger les analystes d’alertes en attribuant un risque aux utilisateurs et aux systèmes. Grâce à cette méthode, les alertes ne se déclenchent que lorsque les risques dépassent les seuils prédéfinis. La RBA réduit les volumes d’alertes jusqu’à 90 % pour que votre attention se porte toujours sur les menaces les plus urgentes. De plus, les détections de Splunk Enterprise Security s’alignent nativement sur les frameworks industriels tels que MITRE ATT&CK, NIST, CSF 2.0 et Cyber Kill Chain®.
Google Chronicle
Les analystes sont débordés à cause des workflows inefficaces
Google Chronicle ne fournit pas aux analystes SOC tous les outils indispensables à une coordination efficace des workflows tout au long des étapes critiques de détection, d’investigation et de réponse aux menaces (TDIR). Les équipes SOC ne peuvent pas se contenter de parcourir d’innombrables résultats de requête. Elles ont besoin d’un accès immédiat à des alertes exploitables, haute-fidélité et en temps réel pour prendre rapidement des décisions. Chronicle n’est pas à la hauteur.
L’avantage de Splunk
Splunk Enterprise Security fournit des workflows unifiés et basés sur les risques tout au long du processus TDIR, avec une surface de travail moderne et unifiée. Optimisez l’efficacité opérationnelle de votre SOC avec des workflows qui intègrent Splunk SOAR pour faire passer l’orchestration et les actions de réponse au niveau supérieur. Avec Splunk, votre équipe peut coordonner et hiérarchiser ses interventions en fonction de l’urgence pour une gestion optimale des risques de l’entreprise.
| Splunk | Google Chronicle | |
|---|---|---|
| Flexibilité architecturale | Déployez Splunk Enterprise Security dans n’importe quel environnement : sur site, cloud ou hybride. Notre solution s’adapte à vos choix métiers, et non l’inverse.
|
Chronicle ne peut pas être déployé en dehors de Google Cloud. Cette contrainte gêne de nombreuses organisations dont l’environnement ne se limite pas exclusivement au cloud.
|
| Optimisation des données | Optimisez vos sources de données pour exploiter tout le potentiel dans la plateforme Splunk. Interrogez les données là où elles se trouvent et importez-les dans Splunk lorsque c’est nécessaire, pour des usages tels que la normalisation, l’enrichissement, la mise à disposition et la conservation des données. Avec Splunk Enterprise Security, vous disposez de la flexibilité nécessaire pour stocker vos données et y accéder, même en périphérie. Et vous pouvez ingérer les données clés essentielles à vos scénarios de sécurité. Vous bénéficiez ainsi de la stratégie d’optimisation des données la plus rentable. |
Avec Chronicle, l’importation des données est à la fois longue et difficile, et elle nécessite souvent des services professionnels. Cela dégrade le retour sur investissement et incite souvent à ne pas ingérer certaines sources, ce qui peut entraîner des lacunes dans la visibilité.
|
| Des détections triées sur le volet | Splunk propose plus de 1 500 détections soigneusement sélectionnées et alignées sur les frameworks du secteur, afin de générer de la valeur dès le premier jour. Avec Splunk, vous bénéficiez automatiquement de mises à jour de contenu de sécurité, fournies directement par la Splunk Threat Research Team pour vous tenir au courant des menaces nouvelles et émergentes. |
Les équipes de sécurité qui utilisent Google sont orientées vers des dépôts GitHub gérés par la communauté, en particulier dès qu’il ne s’agit plus de certains contenus axés sur le cloud. En matière de sécurité, il est préférable que votre fournisseur de SIEM s’investisse autant que vous dans le développement et la mise à jour de contenus.
|
| Gérer les risques en amont | Les alertes basées sur le risque (RBA) de Splunk Enterprise Security améliorent la hiérarchisation en attribuant un niveau de risque aux utilisateurs et aux systèmes, en calquant les alertes sur les frameworks de cybersécurité et en déclenchant des alertes lorsque les risques dépassent des seuils définis. Cette méthode réduit la fatigue liée aux alertes et permet de concentrer les efforts sur la détection des menaces haute-fidélité, pour une gestion plus proactive des risques. |
Chronicle n’offre pas d’alertes sophistiquées basées sur le risque. Sans corrélations avancées ni score de risque personnalisable, Chronicle ne peut pas hiérarchiser efficacement les alertes, et les conséquences peuvent être lourdes : les menaces à haut risque ne sont pas traitées rapidement et le risque de failles de sécurité augmente.
|
| Optimiser l’efficacité opérationnelle | Splunk soutient le SOC moderne grâce à son extensibilité, ses intégrations transparentes et sa prise en charge des environnements hybrides, adossées à une compréhension approfondie des menaces et des risques. Splunk unifie les workflows TDIR grâce à l’intégration de produits de pointe tels que Splunk Enterprise Security, Splunk SOAR, Splunk User Behavior Analytics et Splunk Attack Analyzer, afin de couvrir un large éventail de scénarios d’utilisation SecOps. | Bien que Google Chronicle offre des fonctionnalités de base pour les opérations SOC, la solution n’offre pas, entre autres, une coordination efficace des workflows tout au long du processus de détection, d’investigation et de réponse. Les équipes SOC doivent donc régulièrement parcourir un volume considérable de résultats de requêtes et sont privées des alertes exploitables, haute-fidélité et en temps réel qui sont indispensables pour agir rapidement. Du fait de ce défaut majeur, les équipes qui utilisent Google Chronicle se retrouvent souvent sans les informations pertinentes et précises nécessaires pour une réponse immédiate. |
Classé n° 1 dans le rapport IDC Market Share 2022 dans la catégorie SIEM
