Gagnez en visibilité, agissez plus vite et simplifiez les enquêtes grâce aux workflows personnalisables de Splunk Enterprise Security 7.2

Dans la nouvelle version 7.2 de Splunk Enterprise Security, nous avons le plaisir de présenter des fonctionnalités qui enrichissent et simplifient les enquêtes, offrent une visibilité accrue et réduisent la charge de travail manuel. Vous pourrez personnaliser les workflows d’investigation pour accélérer la prise de décision. La majorité de ces nouveautés et améliorations ont été demandées directement par les utilisateurs de Splunk Enterprise Security (ES) et soumises via le portail Splunk Ideas. Continuez à nous faire part de vos excellentes suggestions, nous sommes à l’écoute !

Grâce à ces nouvelles fonctionnalités, ES vous aide à voir davantage, à agir plus rapidement et à simplifier vos enquêtes. Explorons tout cela ensemble !

Un workflow amélioré pour des enquêtes plus simples

• Recherches d’exploration multiples sur les règles de corrélation : les utilisateurs peuvent désormais créer plusieurs recherches d’exploration sur les règles de corrélation pour réduire rapidement le champ de leur investigation à la suite d’un événement notable. Il n’est donc plus nécessaire de créer manuellement des requêtes : un vrai gain de temps et d’efficacité pour le SOC.
• Amélioration du tableau de bord Analyse des risques : les analystes de sécurité cherchent constamment à augmenter leur visibilité sur la sécurité pour mieux comprendre les risques présents dans l’organisation. Grâce à la nouvelle version du tableau de bord Analyse des risques, ils disposent d’une couche de visibilité plus profonde et globale sur tous les événements de détection. Le SOC peut évaluer plus rapidement les risques liés aux utilisateurs et aux entités, et les analystes ont la possibilité d’explorer les données des utilisateurs et des entités spécifiques pour obtenir davantage de contexte sur les facteurs qui contribuent au risque.
• Dispositions dans l’Examen des incidents : les équipes SOC ont souvent du mal à hiérarchiser les menaces. Dans Examen des incidents, les dispositions aident les analystes à classer les événements notables en distinguant les faux positifs, les positifs bénins et les vrais positifs. Grâce à ces informations, les responsables du SOC et les ingénieurs en détection peuvent déterminer quelles détections doivent être examinées et à quel moment. Désormais, avec ES 7.2, les administrateurs ES peuvent exiger l’ajout d’une disposition lors de la fermeture des notables. Cette boucle de rétroaction sur l’ingénierie de détection garantit un examen efficace des détections de sécurité. De plus, toujours dans Examen des incidents, les analystes peuvent désormais filtrer les données selon une valeur de disposition pour collecter des événements notables selon ce critère sans rechercher manuellement les valeurs de disposition dans la barre de recherche de la page Examen des incidents.
• Hyperliens dans la recherche de corrélation « Étapes suivantes » : de nombreux utilisateurs d’ES disposent de runbooks de réponse aux incidents et de documentation supplémentaire sur le tri de certains incidents, mais les nouveaux analystes ne connaissent pas nécessairement ces processus. Cette nouvelle fonctionnalité permet aux administrateurs ES d’inclure un lien vers différents types de ressources – pages de wiki, runbooks, tableaux de bord Splunk ou même sites web tiers – dans le cadre du workflow de réponse des analystes. Ces informations sont affichées dans le contexte des « étapes suivantes » d’un événement, ce qui simplifie et accélère le processus d’investigation de l’analyste.

Amélioration de la visibilité et réduction de la charge de travail manuel

Les analystes de sécurité doivent réduire la part de travail manuel. Avec la nouvelle fonction d’actualisation automatique dans l’Examen des incidents, ES présente automatiquement au SOC les événements les plus récents. Les administrateurs peuvent désormais personnaliser et contrôler la fréquence de l’actualisation automatique. Les analystes ont ainsi l’assurance de voir les événements notables les plus récents, ce qui les aide à prendre des décisions efficaces et rapides et leur fait gagner du temps en réduisant le travail manuel.

De plus, si les analystes de sécurité peuvent déjà hiérarchiser les événements notables au sein de Splunk Enterprise Security, ils souhaitent aussi souvent les visualiser par date et heure. Pour cette raison, nous réintroduisons la fonction Chronologie dans Examen des incidents. Les analystes peuvent désormais visualiser les événements associés sur une période spécifique. Cette chronologie interactive de notables délivre rapidement un aperçu des activités anormales, comme un nombre inhabituellement élevé de notables à une certaine heure, ce qui facilite le traitement prioritaire des incidents critiques urgents.

Personnalisez les workflows d’enquête pour accélérer la prise de décision

Les grands centres d’opérations de sécurité qui abritent plusieurs équipes ont souvent du mal à prendre des décisions rapides lorsqu’ils sont submergés d’événements de sécurité. ES 7.2 apporte des améliorations facultatives au tableau de bord Examen des incidents, afin de personnaliser l’expérience lors des enquêtes sur des événements notables.

Les analystes peuvent désormais personnaliser et configurer le tableau de bord Examen des incidents à l’aide de filtres et de colonnes qui permettent aux praticiens d’examiner les événements qui les intéressent. Ils peuvent désormais enregistrer des vues de leur tableau de bord Examen des incidents personnalisé et les partager avec d’autres analystes de sécurité. Des analystes avec des cas d’utilisation différents peuvent ainsi échanger leurs vues personnalisées d’événements notables avec leurs collègues qui enquêtent sur les incidents pour une collaboration transparente. Les administrateurs Splunk ES ont également accès à un nouveau niveau de contrôle sur l’expérience des analystes dans Examen des incidents : ils peuvent notamment configurer des vues par défaut pour tous les utilisateurs.

Passez à la nouvelle version dès aujourd’hui !

Les mises à jour Splunk Enterprise Security 7.2 sont disponibles dès aujourd’hui dans les environnements cloud et sur site. Comme nous l’avons mentionné, la majorité des nouveautés de cette version répondent à des demandes directes des utilisateurs. Nous vous écoutons ! Si vous avez des idées et des demandes, n’hésitez pas à les soumettre à Splunk Ideas.

Prêt à vous plonger dans Enterprise Security 7.2 ? Inscrivez-vous à notre Tech Talk !

Pour en savoir plus sur Splunk Enterprise Security 7.2, consultez les notes de version et le site web Splunk Enterprise Security.

Bon Splunking !

_{*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.}