|
Splunk |
Google Chronicle |
Flexibilité architecturale |
Déployez Splunk Enterprise Security dans n’importe quel environnement : sur site, cloud ou hybride. Notre solution s’adapte à vos choix métiers, et non l’inverse. |
Chronicle ne peut pas être déployé en dehors de Google Cloud. Cette contrainte gêne de nombreuses organisations dont l’environnement ne se limite pas exclusivement au cloud. |
Optimisation des données |
Optimisez vos sources de données pour exploiter tout le potentiel dans la plateforme Splunk. Interrogez les données là où elles se trouvent et importez-les dans Splunk lorsque c’est nécessaire, pour des usages tels que la normalisation, l’enrichissement, la mise à disposition et la conservation des données. Avec Splunk Enterprise Security, vous disposez de la flexibilité nécessaire pour stocker vos données et y accéder, même en périphérie. Et vous pouvez ingérer les données clés essentielles à vos scénarios de sécurité. Vous bénéficiez ainsi de la stratégie d’optimisation des données la plus rentable. |
Avec Chronicle, l’importation des données est à la fois longue et difficile, et elle nécessite souvent des services professionnels. Cela dégrade le retour sur investissement et incite souvent à ne pas ingérer certaines sources, ce qui peut entraîner des lacunes dans la visibilité. |
Des détections triées sur le volet |
Splunk propose plus de 1 500 détections soigneusement sélectionnées et alignées sur les frameworks du secteur, afin de générer de la valeur dès le premier jour. Avec Splunk, vous bénéficiez automatiquement de mises à jour de contenu de sécurité, fournies directement par la Splunk Threat Research Team pour vous tenir au courant des menaces nouvelles et émergentes. |
Les équipes de sécurité qui utilisent Google sont orientées vers des dépôts GitHub gérés par la communauté, en particulier dès qu’il ne s’agit plus de certains contenus axés sur le cloud. En matière de sécurité, il est préférable que votre fournisseur de SIEM s’investisse autant que vous dans le développement et la mise à jour de contenus. |
Gérer les risques en amont |
Les alertes basées sur le risque (RBA) de Splunk Enterprise Security améliorent la hiérarchisation en attribuant un niveau de risque aux utilisateurs et aux systèmes, en calquant les alertes sur les frameworks de cybersécurité et en déclenchant des alertes lorsque les risques dépassent des seuils définis. Cette méthode réduit la fatigue liée aux alertes et permet de concentrer les efforts sur la détection des menaces haute-fidélité, pour une gestion plus proactive des risques. |
Chronicle n’offre pas d’alertes sophistiquées basées sur le risque. Sans corrélations avancées ni score de risque personnalisable, Chronicle ne peut pas hiérarchiser efficacement les alertes, et les conséquences peuvent être lourdes : les menaces à haut risque ne sont pas traitées rapidement et le risque de failles de sécurité augmente. |
Optimiser l’efficacité opérationnelle |
Splunk soutient le SOC moderne grâce à son extensibilité, ses intégrations transparentes et sa prise en charge des environnements hybrides, adossées à une compréhension approfondie des menaces et des risques. Splunk unifie les workflows TDIR grâce à l’intégration de produits de pointe tels que Splunk Enterprise Security, Splunk SOAR, Splunk User Behavior Analytics et Splunk Attack Analyzer, afin de couvrir un large éventail de scénarios d’utilisation SecOps. |
Bien que Google Chronicle offre des fonctionnalités de base pour les opérations SOC, la solution n’offre pas, entre autres, une coordination efficace des workflows tout au long du processus de détection, d’investigation et de réponse. Les équipes SOC doivent donc régulièrement parcourir un volume considérable de résultats de requêtes et sont privées des alertes exploitables, haute-fidélité et en temps réel qui sont indispensables pour agir rapidement. Du fait de ce défaut majeur, les équipes qui utilisent Google Chronicle se retrouvent souvent sans les informations pertinentes et précises nécessaires pour une réponse immédiate. |