vous êtes analyste de sécurité dans un SOC. L’un de vos outils de sécurité vous alerte d’un problème. Que se passe-t-il ensuite ?
Récapitulons ce qu’il vient de se passer.
Vous avez suivi les étapes habituelles de détection, d’investigation et de réponse aux menaces (TDIR). Mais cela n’a pas été une partie de plaisir. Cela vous a demandé beaucoup de temps, d’efforts et de travail manuel. Comment faire pour changer les choses ? Comment pouvez-vous détecter, investiguer et répondre plus efficacement et rapidement ? Comment passer d’un taux de faux positifs de 30 % à un taux proche de zéro ? Comment réduire les volumes d’alertes de 80 % ? Comment réduire la durée de ce processus de 45 minutes à 45 secondes ?
ous commencez par détecter les menaces et analyser les données avec une solution SIEM de pointe. Splunk Enterprise Security est la seule solution SIEM désignée leader dans les trois grands rapports SIEM de Gartner, Forrester et IDC. Pour autant, nous ne nous reposons pas sur nos lauriers. Nous continuons d’innover rapidement :
Vous avez détecté une menace et commencé l’investigation. C’est le moment d’analyser l’attaque en détail pour la comprendre et y répondre rapidement. C’est là que Splunk Attack Analyzer (anciennement TwinWave) intervient pour assurer l’analyse automatisée des menaces afin de mettre au jour les chaînes d’attaque utilisées par les malfaiteurs pour échapper à la détection. Splunk Attack Analyzer simplifie le processus d’analyse des attaques de phishing et par malware en offrant aux analystes SOC une vue complète sur ces menaces et les techniques utilisées. Avec Splunk Attack Analyzer, vous pouvez :
Contrairement aux solutions d’isolement traditionnelles, Attack Analyzer utilise une approche innovante d’analyse automatisée des menaces. Il permet de suivre automatiquement plusieurs vecteurs d’une chaîne d’attaques, tels que l’accès à du contenu malveillant, le téléchargement de fichiers ou la saisie de mots de passe pour ouvrir des archives pour obtenir le payload final, qui peut ensuite être analysé.
Pour en savoir plus sur Splunk Attack Analyzer, consultez cet article de blog ou rendez-vous sur la page de Splunk Attack Analyzer.
Le moment est venu de réagir. Allez-vous le faire manuellement ? Bien sûr que non ! Utilisez Splunk SOAR, une solution d’orchestration et d’automatisation qui réalise automatiquement les différentes opérations d’investigation et de réponse dans le cadre de vos workflows de sécurité. Tel un chef d’orchestre, Splunk SOAR utilise des playbooks d’automatisation pour dire à vos différents outils d’effectuer des actions conformément à vos processus prédéterminés. Des processus qui prenaient 45 minutes auparavant ne prennent plus que 45 secondes. Certaines des dernières innovations de Splunk SOAR incluent :
Comme nous venons de le voir, les outils de sécurité de Splunk vous permettent de détecter, d’investiguer et de répondre aux menaces rapidement et efficacement. Mais maintenant, vous pouvez unifier vos opérations de sécurité sur l’ensemble de ces workflows à l’aide d’un environnement de travail unique. En mars 2023, Splunk a annoncé la nouvelle version améliorée de Splunk Mission Control, qui met à disposition une console de gestion unique basée sur le cloud regroupant le SIEM, le SOAR, la threat intelligence et l’analyse au sein d’un environnement de travail unifié pour rationaliser vos workflows et augmenter l’efficacité de votre SOC. Avec Splunk Mission Control, vous pouvez :
Si vous participez à .conf23 à Las Vegas cette semaine, n’oubliez pas de consulter le programme des sessions et des ateliers interactifs que nous proposons pour toutes nos technologies de sécurité. Connectez-vous à l’application ou au site web de .conf23 et recherchez l’une des solutions de sécurité indiquées ci-dessus pour découvrir comment nos dernières innovations peuvent vous permettre de résoudre vos défis de sécurité les plus urgents. Il y en aura pour tous les goûts. Voici un aperçu de certaines des sessions principales :
Nous sommes impatients de vous retrouver à .conf23 !
Suivez toutes les conversations liées à #splunkconf23!
Les plus grandes organisations mondiales font confiance à Splunk, une filiale de Cisco, pour renforcer en permanence leur résilience numérique grâce à une plateforme unifiée de sécurité et d’observabilité, alimentée par une IA de pointe.
Nos clients se fient aux solutions de sécurité et d’observabilité primées de Splunk pour sécuriser leurs environnements numériques complexes et en renforcer la fiabilité, quelle que soit l’échelle.