Splunk Enterprise Security : proposer l’expérience ultime aux analystes de sécurité

Les analystes de sécurité sont en première ligne, chargés de protéger leurs organisations face aux menaces 24 heures sur 24. Notre mission a toujours été d’offrir au SOC une visibilité complète afin que ses analystes puissent se concentrer sur les tâches les plus importantes et agir rapidement et en toute lucidité, avec le contexte nécessaire pour repousser n’importe quelle attaque.

Nous sommes fiers d’être reconnus dans notre secteur comme le leader des solutions pour les opérations de sécurité : Splunk est régulièrement reconnu comme le leader du SIEM, en étant notamment classé n° 1 dans les trois scénarios d’utilisation du rapport Critical Capabilities SIEM 2024 de Gartner®. Cependant, comme l’IA augmente considérablement la vitesse et la sophistication des attaques, nous devons évoluer pour relever ces défis. Plus que jamais, les défenseurs doivent bénéficier de tous les avantages possibles pour vaincre les menaces d’aujourd’hui et de demain. Nos clients disposent déjà de la base la plus solide pour l’avenir, l’heure est venue de l’étoffer avec des fonctionnalités de pointe. 

C’est pourquoi je suis ravi de vous partager une annonce importante que je viens de faire à Splunk .conf25. Sur scène, j’ai dévoilé la version 8.2 de Splunk Enterprise Security (ES), qui représente une étape majeure : c’est désormais une plateforme SecOps optimisée par l’IA, conçue pour unifier et accélérer la détection, l’investigation et la réponse aux menaces(TDIR).

Avec ES 8.2, les workflows de TDIR sont regroupés au sein d’un environnement de travail unifié et convivial adapté au mode de fonctionnement réel des équipes de sécurité, mettant ainsi fin à la prolifération des outils, aux changements incessants de contextes et aux déluges d’alertes. Notre IA et nos agents de pointe sont intégrés à chaque étape du travail des équipes de sécurité, ce qui réduit considérablement le bruit, donne la priorité aux tâches importantes et fait passer le délai d’investigation de plusieurs heures à quelques minutes. 

De la réponse enthousiaste à .conf25 aux résultats que nous rapportent déjà nos premiers utilisateurs, il est évident que cette nouvelle version promet de grandes choses et j’ai hâte que d’autres équipes de sécurité puissent la voir à l’œuvre.

La puissance d’une plateforme unifiée aux fonctionnalités de pointe

Avec cette nouvelle version, Splunk Enterprise Security (ES) rassemble toute les fonctionnalités nécessaires aux opérations de sécurité – SIEM, SOAR, threat intelligence, UEBA, des agents et un assistant basés sur l’IA – au sein d’une interface et d’un workflow unifiés et optimisés. Les analystes n’ont plus à jongler entre plusieurs consoles ou à perdre un temps précieux à la recherche de contexte. Tout se déroule au même endroit tout au long du processus de sécurité : détection des menaces, investigation des incidents, recherche des menaces, automatisation des réponses et gestion des cas, le tout dans ES.

Faire entrer le SOC dans la nouvelle ère de l’IA

Cette nouvelle version d’ES offre d’innombrables possibilités pour l’avenir. En unifiant l’ensemble des fonctionnalités SOC au sein d’un environnement de travail unique, nous posons les bases d’une série d’agents et d’assistants basés sur l’IA qui seront amenés à transformer le travail des analystes.

Sur scène, mon équipe a présenté en avant-première plusieurs fonctionnalités en cours de développement, allant d’agents qui hiérarchisent les alertes et exécutent des plans de réponse préapprouvés à une IA qui génère des requêtes en langage SPL personnalisées, crée des playbooks SOAR en quelques minutes et produit des résumés de détection en langage simple. Ces innovations visent à supprimer les tâches répétitives, faire ressortir les éléments importants et permettre aux analystes de se concentrer sur des décisions à plus forte valeur ajoutée, tout en laissant un contrôle constant aux humains.

En unifiant les workflows dans ES 8.2, nous posons les bases qui permettront à ces assistants et agents basés sur l’IA d’évoluer dans tous les rôles du SOC au sein de notre plateforme TDIR unifiée. Nous nous appuyons ainsi sur les résultats probants que nos clients obtiennent aujourd’hui et ouvrons la voie à des réussites encore plus impressionnantes à l’avenir.

Des résultats concrets dès maintenant

Notre approche unifiée, basée sur l’IA, produit déjà des résultats concrets pour nos clients, qui ont partagé leur expérience avec IDC dans un nouveau rapport indépendant (en anglais) intitulé The Business Value of Splunk Security: A Unified TDIR Platform. Les RSSI et leurs équipes ont constaté des gains significatifs, notamment :

• une identification des menaces 64 % plus rapide,
• une résolution des incidents 55 % plus rapide,
• une réduction des taux de faux positifs de 46 %,
• une réduction des coûts de 38 % par rapport à des solutions de sécurité équivalentes.

Ces chiffres démontrent clairement que des workflows TDIR flexibles et unifiés, une automatisation efficace, une IA robuste profondément intégrée, une visibilité haute fidélité et un contexte riche donnent aux analystes les moyens d’agir avec rapidité et précision. Avec les dernières avancées de Splunk Enterprise Security, c’est tout le SOC qui devient plus rapide et plus résilient grâce à l’IA.

Faites face à aujourd’hui et préparez demain

Dans l’optique de proposer des fonctionnalités et des workflows adaptés aux besoins et aux priorités de votre SOC, cette nouvelle version de Splunk Enterprise Security est désormais disponible en deux éditions : Essentials et Premier. Nous nous engageons à répondre aux besoins actuels de nos clients, quels qu’ils soient, et à les accompagner tout au long de leur parcours de sécurité. Les deux éditions partagent la même base d’Enterprise Security, la même interface unifiée et les mêmes workflows fluides. Ainsi, chaque analyste profite d’une expérience cohérente et intuitive. Essentials offre la meilleure expérience SIEM du secteur grâce à une assistance IA intégrée et des workflows TDIR unifiés. Il s’agit d’une solution puissante en elle-même et constitue une base solide pour moderniser son SOC à l’avenir. 

Premier va plus loin en réunissant des fonctionnalités de pointe telles que l’UEBA native et une automatisation poussée pour l’ensemble du SOC afin de détecter automatiquement les menaces avancées et les comportements anormaux, et accélérer et optimiser la détection et la réponse des équipes de sécurité. 

Quelle que soit la structure actuelle de votre SOC, il existe une édition d’ES adaptée offrant des avantages concrets dès le premier jour, avec la flexibilité et un ensemble d’outils complets pour s’adapter à l’évolution de vos besoins. Nous nous engageons à innover en permanence et à investir massivement afin de garantir que nos solutions évoluent au rythme des menaces et des priorités de nos clients.

Nouveautés de Splunk Enterprise Security 8.2

Nous avons enrichi la base d’ES que vous connaissez déjà avec de nouvelles fonctionnalités puissantes qui aident les analystes à éliminer les distractions et à se concentrer sur les résultats :

• AI Assistant for Security (inclus dans ES Essentials et ES Premier) : intégré directement dans les workflows d’ES, l’AI Assistant permet aux analystes de générer des recherches SPL en langage naturel, de résumer les résultats, de générer des rapports d’investigation et de recommander les prochaines étapes, ce qui accélère les tâches quotidiennes tout en permettant aux analystes de garder le contrôle.
• Full-Spectrum SOAR (disponible aujourd’hui dans ES Premier) : l’automatisation intégrée et la capacité à créer et modifier des runbooks sont maintenant accessibles à tous les analystes du SOC, sans restriction de poste. Standardisez vos playbooks, accélérez le triage et améliorez la fiabilité dans l’ensemble de l’équipe.
• Native UEBA (disponible aujourd’hui dans ES Premier) : détectez les menaces internes, les comptes compromis et les mouvements latéraux grâce à des analyses comportementales intégrées directement dans les workflows de détection, d’investigation et de réponse.
• Detection Studio (disponible en alpha dans certaines régions) : cette fonctionnalité permet aux ingénieurs en détection de découvrir et de déployer plus rapidement des règles haute fidélité, avec une couverture mappée à MITRE ATT&CK et des outils pour combler les lacunes en matière de détection. La prise en charge des tests de robustesse et des fonctionnalités supplémentaires sera bientôt disponible.

Si vous utilisez ES 7.x ou une version antérieure, la mise à niveau vous permet de bénéficier d’améliorations majeures en termes de performances, de visibilité et d’efficacité des workflows, tout en vous laissant profiter immédiatement des nouvelles fonctionnalités.

Pour en savoir plus, participez à notre Demo Day

Pour découvrir directement les nouvelles fonctionnalités et en savoir plus sur Enterprise Security, inscrivez-vous à notre Demo Day, lors duquel nous présenterons les nouveaux workflows unifiés et les fonctionnalités d’IA, et où vous pourrez poser vos questions en direct !

👉 Réservez votre place ici.

_{*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.}