L’année 2020
a provoqué des changements à un rythme jamais vu jusqu’alors. Nous avions alors évoqué une transition massive et globale vers le cloud, du jour au lendemain. Il s’avère que cette transition « du jour au lendemain » se poursuit, et que les défis de l’année dernière persistent. Le principal d’entre eux est la complexité croissante des infrastructures hybrides et multicloud, sans oublier la perte de visibilité en matière de sécurité et l’augmentation rapide de la surface d’attaque qu’elle a engendrées.
Comme si l’accélération de la transformation numérique n’était pas suffisamment problématique, selon l’étude réalisée dans le rapport État de la cybersécurité en 2021 de Splunk : 84 % des entreprises ont subi un incident de sécurité majeur au cours des deux dernières années. Qui plus est, la situation ne s’améliore pas : 49 % des personnes interrogées ont indiqué qu’il a été plus difficile de suivre le rythme des exigences de sécurité au cours des deux dernières années. Et avec 76 % des participants qui indiquent que la sécurité des télétravailleurs est plus difficile à assurer, il n’est pas étonnant que les équipes SOC soient à la traîne.
Les entreprises font face à un manque de visibilité sur leur écosystème, à un déluge d’alertes dans leur SOC et ne disposent pas d’informations en contexte ou de méthodes d’automatisation. La sécurité est essentielle et conditionne la mise en place d’un plan de transformation numérique efficace. C’est là que Splunk intervient.
Splunk pour la sécurité
Nous comprenons votre volonté de réduire les temps d’arrêt et les délais de résolution. C’est pourquoi cette semaine, à l’occasion de .conf21, nous allons dévoiler plusieurs fonctionnalités et nouveautés visant à vous aider à combattre les menaces et à concrétiser votre plan de transformation numérique en toute sécurité.
Enterprise Security Cloud
Avec Enterprise Security Cloud, nous continuons à améliorer les capacités précédemment annoncées, tout en ajoutant de nouvelles fonctionnalités essentielles à tout SOC moderne. Voici ce qui vous attend !
Tableau de bord de synthèse pour les décisionnaires (Executive Summary Dashboard)
Enterprise Security met à la disposition des entreprises une quantité phénoménale de métriques relatives au fonctionnement de votre programme de sécurité. Le nouveau Executive Summary Dashboard fait apparaître les indicateurs clés de performance qui donnent des informations sur la santé globale du SOC et facilitent la création de rapports pour les RSSI et les autres responsables.
Executive Summary Dashboard vous permet d’accéder rapidement aux informations suivantes :
- temps moyen de triage ;
- temps moyen de résolution ;
- investigations créées ;
- tendances des alertes basées sur les risques ;
- et bien plus encore !
Tableau de bord pour les opérations de sécurité (Security Operations Dashboard)
Au même titre que l’Executive Summary Dashboard, le Security Operations Dashboard partage des informations clés mais offre une analyse plus poussée pour les responsables SOC et les chefs d’équipe. Auparavant, Enterprise Security apportait une fonctionnalité de qualification de la nature des incidents qui vous permettait de préciser si un événement était un vrai positif, un faux positif ou un positif inoffensif. Prochainement, vous pourrez consulter et produire des rapports concernant ces données au fil du temps. Vous profiterez ainsi d’une analyse détaillée indiquant exactement quelles sources de corrélation contribuent à chacun des quatre types de disposition de base. Cela permettra à votre équipe de décider quels événements doivent être conservés et lesquels peuvent être supprimés.
Tableau de bord pour la supervision de la sécurité cloud (Cloud Security Monitoring Dashboard)
Nous apportons également des améliorations au tableau de bord Cloud Security Monitoring Dashboard pour vous offrir une meilleure visibilité dans les environnements AWS, avec de nouveaux tableaux de bord tels que Groupes de sécurité AWS, Activité IAM AWS, un nouveau tableau de bord pour capturer vos données Microsoft 365, etc.
Mises à jour de contenu en temps réel automatisées
Nous ajoutons également des mises à jour de contenu en temps réel automatisées intégrées au produit, afin que vous puissiez profiter du contenu de sécurité le plus récent proposé par l’équipe de recherche sur les menaces de Splunk, dès sa publication, en un clic !
Behavioral Analytics for Security Cloud (version anticipée)
Behavioral Analytics for Security Cloud, maintenant disponible en version anticipée, offre des fonctionnalités de détection des menaces à l’aide de capacités d’analyse des flux de sécurité pour révéler les menaces inconnues et les comportements d’entités et d’utilisateurs anormaux. Renforcez votre SIEM dans le cloud grâce à la recherche et à l’analyse en temps réel, en plus des traditionnelles corrélations basées sur les recherches et les analyses groupées afin de réduire votre temps moyen de détection et passer plus de temps à traquer les menaces grâce à des alertes plus fiables et basées sur les risques.
Splunk Security Essentials
Découvrez des détections pré-intégrées et des scénarios analytiques, qui sont des ensembles de détections pour réagir face à certains événements ou malfaiteurs, pour vos scénarios d’utilisation de sécurité avec Splunk Security Essentials. Sortie juste à temps pour .conf21, la version 3.4.0 de Splunk Security Essentials ajoute des recommandations de détection basées sur les différents secteurs d’activité MITRE ATT&CK, un meilleur mappage du contenu personnalisé, ainsi qu’une nouvelle fonctionnalité pour identifier les extensions Splunkbase utiles, pour vous permettre d’utiliser encore plus de contenu de sécurité dans votre environnement.
SOAR
Avec Splunk SOAR, tout le monde peut automatiser, du novice en codage aux experts du SOAR. Nous avons concentré nos efforts pour apporter des changements et des améliorations à l’expérience utilisateur afin de permettre une rentabilisation plus rapide !
Éditeur visuel de playbook (Visual Playbook Editor)
Le nouveau Visual Playbook Editor offre une interface simplifiée qui rend l’automatisation des tâches de sécurité plus facile que jamais, avec :
- une lisibilité et une navigation améliorées ;
- une orientation verticale des playbooks ;
- une réduction de la dépendance au code personnalisé.
Applications sur la Splunkbase
Les applications Splunk SOAR sont maintenant disponibles sur notre vaste écosystème d’intégrations techniques créées par nos partenaires et notre communauté : Splunkbase, une plateforme unique pour vous permettre de libérer tout le potentiel du SOAR.
Éditeur d’application (App Editor)
Le nouvel Éditeur d’application facilite la visualisation, les tests, l’amélioration et la modification des applications existantes, et même la création de nouvelles applis, le tout à partir d’une interface utilisateur SOAR, qui vous permet :
- de gagner du temps grâce aux fonctionnalités de développement de bout en bout contenues dans l’interface ;
- de visualiser et d’ajouter du code, de tester des actions, de consulter les résultats de logs et de dépanner en toute facilité ;
- d’obtenir une meilleure visibilité sur le fonctionnement d’une application et de la modifier pour l’adapter à votre scénario d’utilisation.
Technologie d’Intelligence Management de TruSTAR
La technologie d’Intelligence Management de TruSTAR détruit les silos de données dans l’ensemble des entreprises pour permettre d’assurer une sécurité optimale adaptée aux objectifs de l’entreprise. À mesure que Splunk et TruSTAR continuent la fusion de leurs produits, les clients communs des deux entreprises auront la possibilité :
- de réduire le bruit des sources d’information pour améliorer automatiquement la priorisation des alertes ;
- de partager facilement les données de Threat Intelligence au sein des différents outils, équipes et partenaires ;
- d’améliorer l’efficacité des playbooks dans Splunk SOAR grâce à des informations normalisées.
SURGe
La complexité des menaces de sécurité ne cesse de croître de manière exponentielle. Avoir accès à l’expertise de spécialistes, à des processus élaborés et à des technologies de pointe peut permettre aux entreprises de rester proactives dans leurs initiatives de sécurisation de leur environnement. SURGe aide les équipes de sécurité à réagir rapidement aux cyberattaques urgentes de grande ampleur en offrant des informations contextualisées et en suggérant des techniques initiales de réponse aux incidents. En utilisant les conseils techniques avisés et rapides des experts de SURGe, les équipes de sécurité peuvent garder leur calme en plein chaos, puis réduire leur temps moyen de détection et leur temps moyen de réponse.
Avec SURGe, vous pouvez :
- donner la possibilité à votre équipe bleue de réagir rapidement grâce aux techniques initiales de réponse aux incidents ;
- vous appuyer sur une Threat Intelligence fiable pour garder une longueur d’avance sur les menaces ;
- profiter des processus, des technologies et de l’expertise des employés de Splunk pour vous aider à protéger votre entreprise.
Vous souhaitez être prévenu des cyberattaques de grande ampleur ? Inscrivez-vous ici pour recevoir des alertes et des conseils initiaux de réponse aux incidents de SURGe.
Vous souhaitez savoir dans quelle mesure Splunk peut vous aider à sécuriser votre parcours cloud ? Joignez-vous à nous et à plus de 20 000 clients et partenaires de Splunk en ligne à l’occasion de .conf21. Nous proposerons des mises à jour sur l’ensemble de notre portefeuille de sécurité et des démonstrations détaillées.
-----------------------
Jane Wong
Suivez toute l’actualité de#splunkconf21!
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
----------------------------------------------------
Thanks!
Splunk
