Splunk Enterprise Security: Handlungsfreiheit für das gesamte SOC

Sicherheitsanalysten arbeiten an vorderster Front, sie sind dafür verantwortlich, das Unternehmen rund um die Uhr vor allen Bedrohungen zu schützen. Wir haben es immer als unsere Mission verstanden, den SOCs durch umfassende Transparenz die Möglichkeit zu geben, sich auf das Wesentliche zu konzentrieren, sodass sie jeden Angriff erfolgreich abwehren. Klarheit, Kontext und Geschwindigkeit lautet die Maxime.

Wir sind stolz darauf, dass wir in der Branche als führender Anbieter von Security-Operations-Lösungen anerkannt sind: Splunk wird regelmäßig als SIEM-Leader ausgezeichnet und belegt im Gartner®-Bericht Critical Capabilities for Security Information and Event Management 2024 bei allen drei Use Cases den Spitzenplatz. Allerdings haben die Angriffe durch KI erheblich an Tempo und Komplexität zugelegt. Das bedeutet: Auch wir müssen uns weiterentwickeln, um diesen Herausforderungen gerecht zu werden. Mehr denn je kann die Abwehr alles brauchen, was ihr irgendeinen Vorteil verschafft im Kampf gegen die Bedrohungen von heute – und von morgen. Unsere Kunden haben bereits das denkbar stärkste Fundament für die Zukunft. Und jetzt ist es an der Zeit, darauf aufzubauen.

Deshalb freue ich mich unglaublich, dass ich euch etwas bekannt geben kann, was ich erst heute Vormittag auf der Splunk .conf25 angekündigt habe. Auf der Bühne habe ich erstmals unser transformatives Update auf Splunk Enterprise Security (ES) 8.2 vorgestellt: eine KI-gestützte SecOps-Plattform, die wir entwickelt haben, um Threat Detection, Investigation and Response (TDIR) zu beschleunigen und zu einer nahtlosen Experience zu vereinheitlichen.

Mit ES 8.2 werden die TDIR-Workflows in einem einzigen einheitlichen, intuitiven Arbeitsbereich zusammengeführt, was der Art und Weise entspricht, wie Sicherheitsteams in Wirklichkeit arbeiten. Tool-Wirrwar, ständige Kontextwechsel und Alarmmüdigkeit gehören damit der Vergangenheit an. Unsere fortschrittliche KI und ihre integrierten Agenten begleiten die Experience des Security-Teams in jeder Phase, sie reduzieren das Rauschen erheblich, priorisieren die wirklich wichtigen Aufgaben und verkürzen die Untersuchungszeiten von Stunden auf Minuten.

Bei der großen Begeisterung, die heute im Saal zu spüren war, und wenn wir uns ansehen, welche Ergebnisse die Early Adopter bereits erzielen, ist offensichtlich, dass wir da etwas ganz Großes angestoßen haben – und ich freue mich, dass jetzt noch mehr Sicherheitsteams davon profitieren können.

Die Power einer konsolidierten Plattform mit marktführenden Fähigkeiten

Mit diesem Release vereint Splunk Enterprise Security (ES) das gesamte Spektrum an SecOps-Funktionen – SIEM, SOAR (Security Orchestration, Automation and Response), Threat Intelligence, UEBA (User and Entity Behavior Analytics) sowie einen KI-gestützten Assistenten mit Agenten –, zu einer nahtlosen, einheitlichen Benutzeroberfläche mit Workflows, die genau daran orientiert sind, wie in Wirklichkeit gearbeitet wird. Analysten müssen dann nicht mehr zwischen einzelnen Konsolen hin- und herwechseln und verlieren keine Zeit mehr mit der Suche nach Kontext. Der gesamte Security-Lifecycle wird an ein und demselben Ort abgearbeitet: Bedrohungserkennung, Incident-Untersuchung, Threat Hunting, Reaktionsautomatisierung und Ticket-Management – alles innerhalb von ES.

Wegbereiter für das SOC im KI-Zeitalter

Zu den spannendsten Aspekten dieses Releases gehört die Überlegung, was damit als Nächstes möglich wird. Dadurch, dass wir das gesamte SOC-Funktionsspektrum zu einem einzigen ES-Arbeitsbereich zusammenführen, legen wir das Fundament für die nächste Generation von KI-Agenten und -Assistenten, die die Analystenarbeit gründlich verändern werden.

Auf der Bühne gab mein Team erstmals Einblick in eine Reihe neuer Funktionen, die wir derzeit entwickeln – von Agenten, die Warnmeldungen priorisieren und vorab freigegebene Reaktionsmaßnahmen ausführen, bis hin zu künstlicher Intelligenz, die passgenaue SPL-Abfragen generiert, innerhalb von Minuten SOAR-Playbooks erstellt und Erkennungen in natürlicher Sprache zusammenfasst. Diese Innovationen sollen repetitive Arbeiten überflüssig machen und das, worauf es ankommt, hervorheben, damit die Analysten sich auf die Entscheidungen konzentrieren können, die wirklich zur Wertschöpfung beitragen – wobei der Mensch stets die Kontrolle behält.

Durch die Vereinheitlichung der Workflows in ES 8.2 bereiten wir das Feld, auf dem KI-Assistenten und -Agenten dann über sämtliche SOC-Rollen und unsere gesamte einheitliche TDIR-Plattform hinweg nahtlos agieren können. Wir bauen dabei auf den Resultaten auf, die unsere Kundschaft nachweislich schon heute erzielt, und öffnen das Tor zu noch besseren Ergebnissen in der Zukunft.

Handfeste Erfolge in der Gegenwart

Unser einheitlicher, KI-gestützter Ansatz liefert bereits erfolgsentscheidende Ergebnisse. Unsere Kunden berichten davon in einem aktuellen unabhängigen IDC-Report mit dem Titel The Business Value of Splunk Security: A Unified TDIR Platform. Im Vergleich zu früher können die CISOs und ihre Teams erhebliche Verbesserungen feststellen; sie können jetzt:

• Bedrohungen um 64 % schneller identifizieren
• Incidents um 55 % schneller klären
• Die Falsch-positiv-Rate um 46 % reduzieren
• Die Kosten gemessen an vergleichbaren Lösungen um 38 % reduzieren

Diese Ergebnisse zeigen, was mit flexiblen und einheitlichen TDIR-Workflows, effizienter Automatisierung und durchgängig integrierter robuster KI, hochauflösender Transparenz und reichem Kontext möglich ist, wenn die Analysten schnell und zielgerichtet handeln können. Die neuesten Fortschritte bei Splunk Enterprise Security ergeben für die Sicherheitsteams ein schnelleres, resilienteres, KI-gestütztes SOC.

Das Beste für heute und bereit für die Zukunft

Damit Unternehmen die Funktionen und Workflows bekommen, die für ihre spezifischen Anforderungen und Prioritäten im SOC passen, gibt es die neue Version von Splunk Enterprise Security in zwei Editionen: Essentials und Premier. Wir wollen unsere Kunden dort abholen, wo sie sich befinden, und sie auf ihrer jeweils eigenen Security-Reise unterstützen. Beide Editionen basieren auf derselben bewährten ES-Grundlage mit der einheitlichen Benutzeroberfläche und nahtlosen Workflows, sodass alle Analysten im SOC von der konsistenten und intuitiven Experience profitieren. Essentials bietet die branchenweit führende SIEM-Experience mit integrierter KI-Unterstützung und einheitlichen TDIR-Workflows – eine leistungsstarke Lösung und eine solide Grundlage für die künftige SOC-Modernisierung.

Premier geht noch einen Schritt weiter und ergänzt das Spektrum um führende Funktionen wie native UEBA und robuste Automatisierung für das gesamte SOC. Komplexe Bedrohungen und anomales Verhalten kann das Security-Team damit automatisch identifizieren, Erkennung und Reaktion geschehen schneller und effizienter.

Wie auch immer euer SOC aktuell strukturiert ist – es gibt eine ES-Edition, die vom ersten Tag an messbare Wirkung zeigt. Die ein durchgängiges Toolset mitbringt und flexibel genug ist, sodass sie mithalten kann, wenn eure Anforderungen sich weiterentwickeln. Wir engagieren uns weiter mit kontinuierlicher Innovation und umfangreichen Investitionen, um sicherzustellen, dass unsere Lösungen mit den Prioritäten unserer Kundschaft und den laufenden Veränderungen der Bedrohungslandschaft Schritt halten.

Neuerungen in Splunk Enterprise Security 8.2

Wir haben die ES-Grundlage, die ihr bereits schätzen gelernt habt, um leistungsstarke neue Funktionen erweitert, mit denen Analysten Ablenkungen leichter vermeiden und sich besser auf Ergebnisse konzentrieren können:

• AI Assistant for Security (in ES Essentials und ES Premier) – Der KI-Assistent ist direkt in die ES-Workflows integriert. Analysten können damit SPL-Suchen in natürlicher Sprache generieren, Ergebnisse zusammenfassen und Untersuchungsberichte erstellen lassen sowie Empfehlungen für das weitere Vorgehen einholen. So werden Routineaufgaben schneller erledigt, während die Analysten stets die Kontrolle behalten.
• SOAR für alle (ab sofort in ES Premier) – Eingebettete Automatisierungsfunktionen und die Möglichkeit, Runbooks zu erstellen und zu bearbeiten, stehen nun sämtlichen Analysten im SOC zur Verfügung, ohne Einschränkungen in Bezug auf die Anzahl der Arbeitsplätze. Damit standardisiert ihr eure Playbooks, beschleunigt die Triage und sorgt für teamübergreifend konsistentere Prozesse.
• Native UEBA (ab sofort in ES Premier) – Mit User and Entity Behavior Analytics erkennen die Teams Insider-Bedrohungen, kompromittierte Accounts und Seitwärtsbewegungen. Die verhaltensbasierten Analysen sind direkt in die Workflows von Erkennung, Untersuchung und Reaktion integriert.
• Detection Studio (Alpha, soweit verfügbar) – Das Detection Engineering kann damit feingranulare Regeln schneller entwickeln, zum Einsatz bringen und managen. Die Abdeckung orientiert sich an MITRE ATT&CK, hinzu kommen noch Tools zum Schließen von Erkennungslücken. Die Unterstützung für robuste Tests und weitere Funktionen wird in Kürze verfügbar sein.

Wenn ihr ES 7.x oder eine frühere Version verwendet, erschließt euch das Upgrade erhebliche Verbesserungen in puncto Performance, Transparenz und Workflow-Effizienz – und gibt euch die Möglichkeit, unmittelbar von diesen neuesten Funktionen zu profitieren.

Mehr erfahren: Macht mit bei unserem Demo-Tag

Wenn ihr die neuen Funktionen in Aktion erleben wollt und mehr über Enterprise Security erfahren möchtet, dann meldet euch für unseren Demo-Tag an. Wir zeigen euch eine Live-Demo der neuen einheitlichen Workflows, führen euch die KI in Aktion vor, und ihr habt die Möglichkeit, live Fragen zu stellen!

👉 Sichert euch hier euren Platz.

_{*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalartikel findet ihr hier.}