Fonctionnalités d’Enterprise Security
Découvrez les fonctionnalités d’Enterprise Security et ses workflows approfondis pour comprendre comment cette solution améliore l’efficacité, la précision et l’impact de vos opérations de sécurité.
Workflows unifiés
SIEM
Assistant IA
SOAR
UEBA
Cisco Talos et gestion de la threat intelligence
Detection Studio
Déployez des détections en toute confiance pour réduire le temps de détection. Unifiez l’expérience du cycle de vie des détections pour que les ingénieurs puissent tester, déployer et superviser des détections de façon fluide. Mesurez et renforcez votre couverture en vous appuyant sur le framework MITRE ATT&CK® pour que votre équipe soit toujours au fait de l’évolution des TTP et puisse agir rapidement en cas d’angle mort.*
* Disponible en version alpha dans certaines régions
Détections basées sur les observations
Découvrez comment les détections basées sur les observations aident votre équipe de sécurité à interpréter rapidement les incidents de sécurité pour apporter la réponse optimale. Ces détections s’appuient sur l’observation d’une information ou d’une analyse spécifique : horodatage, paire clé-valeur, information sur une entité, impact, score de risque, objet de menace et autres.
Détections
Apprenez à exploiter les détections et leur contenu dans Splunk Enterprise Security 8.0. Cette nouvelle version de Splunk Enterprise Security propose une bibliothèque complète de contenus de détection, et elle est bien plus facile à gérer. Les contenus sont plus clairs, mieux organisés et plus faciles à suivre, ce qui facilite l’identification et la mise à jour des contenus obsolètes pour les ingénieurs en détection.
Gestion des versions des détections
Découvrez comment la gestion des versions de détection facilite l’adoption des bonnes pratiques dans Splunk Enterprise Security 8.0. Cette fonctionnalité assure un contrôle natif et automatique des versions des détections ESCU et développées en interne. Les ingénieurs en détection disposent ainsi d’un moyen simple et efficace d’enregistrer de nouvelles versions des détections, de les sauvegarder, de rétablir des versions antérieures en un clic et d’assurer la maintenance des détections personnalisées.
Matrice du framework MITRE ATT&CK
Dans Splunk Enterprise Security, la fonction Framework MITRE ATT&CK permet aux analystes de sécurité de comprendre rapidement les circonstances d’un incident dans le contexte de la matrice MITRE ATT&CK et d’accéder instantanément à la documentation MITRE associée.
Tableau de bord Security Posture
Reposant sur une plateforme évolutive, Splunk Enterprise Security (ES) fournit des informations basées sur les données pour vous offrir une visibilité totale sur votre organisation.
Le tableau de bord Security Posture offre une visualisation détaillée des événements notables émergeant en temps réel au sein de votre centre des opérations de sécurité. Vous pouvez configurer le tableau de bord en ajoutant les KPI qui vous intéressent et suivre leur évolution sur une période de 24 heures.
Alertes basée sur les risques (RBA)
Les alertes basées sur le risque, ou « RBA », s’appuient sur les détections prêtes à l’emploi de Splunk Enterprise Security pour réduire considérablement les taux de faux positifs et accroître la productivité de votre SOC. La fonction RBA attribue un niveau de risque aux utilisateurs et aux systèmes, et émet des alertes lorsque des seuils de risque et de comportement sont franchis.
Dans Incident Review, vous pouvez rapidement accéder à la chronologie des événements qui ont contribué à un notable (ou un notable de risque) généré par la RBA.
Threat Intelligence et SOAR
Splunk Intelligence Management permet aux équipes de sécurité d’opérationnaliser les sources d’informations de sécurité internes et externes de l’ensemble de leur écosystème en délivrant directement les informations dans Splunk ES et Splunk SOAR.
Splunk SOAR partage ses informations de façon transparente avec Splunk ES pour accélérer les investigations et la prise en charge des incidents en enrichissant les alertes et en accomplissant des tâches en un clin d’œil.
Analyse comportementale
Splunk User Behavior Analytics (UBA) s’intègre à Splunk ES pour améliorer la visibilité, renforcer la sécurité et simplifier les investigations, permettant ainsi aux analystes de se concentrer sur les alertes haute fidélité. UBA utilise le machine learning pour profiler le comportement des utilisateurs et des entités, identifier les menaces réelles et les transmettre à Splunk ES.
Le service d’analyse comportementale est également disponible pour les clients qui ont déployé Splunk ES dans le cloud. Il fournit une visibilité de sécurité complète qui permet de mettre au jour les menaces invisibles et inconnues grâce à l’analyse de flux.
Mises à jour du contenu ES et bibliothèque de scénarios d’utilisation
La Splunk Threat Research Team publie du contenu de sécurité sous forme de détections et de réponses prêtes à l’emploi pour aider votre équipe à garder une longueur d’avance sur les dernières menaces.
Retrouvez ce contenu dans la Bibliothèque des scénarios d’utilisation sous la forme de scénarios analytiques, que vous pouvez filtrer par scénario d’utilisation ou par framework, comme MITRE ATT&CK.
Tableau de bord Access Anomalies
Le tableau de bord Access Anomalies est une autre fonction d’information de sécurité dans Splunk ES. Access Anomalies met en évidence les comportements inhabituels de vos utilisateurs, notamment les tentatives d’authentification simultanées provenant de différentes adresses IP et les anomalies de déplacements improbables.
Analyse dynamique de la réputation des identifiants
Le playbook Dynamic Identifier Reputation Analysis est un outil incontournable pour les équipes SOC (centre des opérations de sécurité) souhaitant avoir une image complète du paysage des menaces au sein de leur environnement. En adoptant l’approche d’analyse dynamique de la réputation des identifiants de MITRE DEFEND, les équipes du SOC identifient rapidement les menaces et les vulnérabilités. Elles peuvent ainsi prendre des mesures en amont pour atténuer les risques et éviter tout dommage.
File des analystes
Dans cette démo « Le SIEM en quelques secondes », nous allons découvrir les possibilités de la nouvelle file analyste de Splunk Enterprise Security 8.0. C’est là que les analystes de sécurité passent le plus de temps à trier les alertes et à investiguer. Dans le nouveau panneau latéral de droite, les analystes retrouvent toutes les informations associées à une détection et peuvent immédiatement lancer les investigations et des réponses automatiques.
Investigations
Dans cette démo « Le SIEM en quelques secondes », vous découvrirez les nouveautés des workflows d’investigation dans Splunk Enterprise Security 8.0, pour comprendre comment ils réduisent le temps moyen de réponse (MTTR) aux incidents.
Topologie des menaces
La topologie des menaces permet aux analystes d’estimer l’étendue d’un incident en cartographiant l’ensemble des risques et des objets de menace associés. Ils comprennent instantanément la portée d’un incident de sécurité et accèdent rapidement aux différents actifs et utilisateurs concernés au cours de l’investigation, ce qui permet de gagner en efficacité et en productivité.
Tableau de bord Incident Review
C’est l’interface principale qui regroupe les détections ou événements notables. Le tableau de bord Notable Events est le point de départ des investigations sur un incident. Vous pouvez trier les incidents en fonction de leur sévérité pour traiter les plus urgents en priorité.
Asset Investigator et Security Domains
Le tableau de bord Asset Investigator agrège les événements au fil du temps et les organise en couloirs d’activité pour faciliter la recherche des menaces et la collecte de preuves. Chaque couloir met en évidence les périodes de haute et faible activité à l’aide d’un code couleur, afin de révéler les motifs remarquables dans les actions de l’hôte et des utilisateurs.
La section Security Domains rassemble des tableaux de bord prêts à l’emploi qui ciblent des aspects particuliers : suivi des tentatives de connexion, faille des terminaux et intrusions sur le réseau, notamment. Vous pouvez les parcourir et les corréler pour accélérer la résolution des incidents.
Tableau de bord Risk Analysis
Le tableau de bord Risk Analysis suit et catégorise les actifs par niveau de risque. Par exemple, les actifs qui affichent soudainement un pic d’activité sont traités en priorité par rapport à ceux qui contiennent peu d’informations confidentielles, afin de réduire le bruit des alertes.
Workbench d’investigation
Au cours d’une investigation, accédez rapidement au Workbench d’investigation qui centralise la threat intelligence, le contexte de sécurité et les données pertinentes sur les utilisateurs et les appareils, pour une évaluation rapide et précise des incidents.
La chronologie d’investigation favorise la collaboration et le suivi des investigations. On peut aussi lancer facilement des recherches ad hoc depuis le Workbench, pour gagner du temps et rester concentré sur l’investigation.
Investigation en ligne de commande
Lorsque vous vous trouvez sur la page Investigation de Splunk SOAR, vous pouvez réaliser des actions de plusieurs manières. L’une des plus simples consiste à utiliser la ligne de commande, là où vous rédigeriez des commentaires dans un événement. Si vous commencez la saisie par un slash (/), vous êtes invité à choisir une action.
Gestion des investigations
Splunk SOAR orchestre les workflows et les réponses dans l’ensemble de votre environnement informatique et de vos outils de sécurité pour que chacun joue un rôle actif dans votre stratégie de défense. La fonction de gestion des dossiers s’appuie sur des workbooks pour encoder vos processus sous forme de modèles réutilisables. Que vous utilisiez des modèles personnalisés ou des normes industrielles pour structurer la réponse aux incidents, Splunk SOAR facilite la segmentation, l’affectation et la documentation des tâches. Le résultat : un processus d’investigation cohérent et collaboratif.
Gestion des événements
Les analystes sont souvent submergés par un grand volume d’événements de sécurité. Splunk SOAR facilite leur gestion en réunissant tous les événements de différentes sources à un même endroit. Les analystes peuvent trier et filtrer les événements pour identifier les événements notables haute fidélité et hiérarchiser l’action.
Wayfinder
Wayfinder est un outil de navigation dynamique qui vous aide à vous déplacer rapidement et facilement dans l’interface utilisateur de Splunk SOAR. Grâce à des raccourcis clavier simples, vous pouvez accéder directement aux incidents clés, aux playbooks d’automatisation et aux informations critiques sans vous perdre dans d’innombrables menus. En rendant la navigation intuitive et efficace, Wayfinder améliore votre expérience dans Splunk SOAR.
Tableau de bord principal
Personnalisable, le tableau de bord principal de Splunk SOAR permet aux utilisateurs de suivre des indicateurs clés tels que les temps moyens de détection et de réponse, les économies et les gains de temps réalisés, et bien d’autres informations utiles. Vous pouvez déplacer les différents volets du tableau de bord pour avoir à portée de main les informations les plus importantes.
Lancement d’actions contextuelles
Les applications Splunk SOAR possèdent un paramètre pour les entrées et les sorties d’actions baptisé « contains ». Il permet de déclencher des actions contextuelles dans l’interface utilisateur de Splunk SOAR. Prenons par exemple le type de contains « ip ». C’est une fonction puissante offerte par la plateforme car elle permet à l’utilisateur de faire de la sortie d’une action l’entrée d’une autre.
Création manuelle d’un événement
Si vous n’avez rien fait encore sur votre instance de Splunk SOAR, le résumé ROI n’affichera qu’une série de zéros. Comment faire pour créer des événements dans Splunk SOAR ? Vous pouvez le faire manuellement.
Splunk Intelligence Management pour Splunk SOAR
Si les playbooks Splunk SOAR automatisent les mesures de sécurité, ils révèlent toute leur puissance lorsqu’on y ajoute la gestion des informations de Splunk ES, et deviennent encore plus faciles à utiliser. Cette intégration permet aux utilisateurs d’assimiler des informations préparées et normalisées en provenance de sources internes et externes, pour accélérer le triage et optimiser les playbooks.
Unification du processus TDIR
Splunk Enterprise Security 8.0 est une révolution pour les workflows du SOC. Cette solution permet aux analystes de sécurité de détecter les événements qui comptent, de mener des investigations poussées et de réagir rapidement. Optimisez les opérations de sécurité en adoptant des workflows TDIR complets et unifiés, une terminologie simplifiée, des fonctions modernes d’agrégation et de tri, et des outils de détection plus performants. Cette démonstration complète aborde l’ensemble des fonctionnalités et des capacités de Splunk Enterprise Security 8.0.
Plans de réponse
Dans cette démo « Le SIEM en quelques secondes », vous découvrirez comment les plans de réponse intégrés à Splunk Enterprise Security permettent aux utilisateurs de collaborer et de mener à bien des workflows de réponse aux incidents face aux scénarios de sécurité courants, sans difficulté. Grâce aux modèles de plan de réponse, les utilisateurs voient toutes les phases du plan de réponse, leur attribuent des acteurs spécifiques, et appliquent des playbooks d’automatisation pour accélérer la correction.
Unification des workflows SIEM et SOAR
Dans cette démo « Le SIEM en quelques secondes », vous découvrirez comment tout est centralisé au sein d’une même interface unifiée grâce à l’intégration directe des playbooks et des actions de Splunk SOAR avec les fonctions de gestion des cas et d’investigation de Splunk Enterprise Security et de Mission Control. Optimisez le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) aux incidents. Les analystes détectent les menaces, investiguent et réagissent à partir d’une même interface de travail moderne et unifiée.
Actions Adaptive Response
Les actions Adaptive Response peuvent être déclenchées manuellement ou automatiquement lorsqu’un événement notable est généré.
Elles peuvent collecter du contexte ou accélérer le processus de réponse et de correction lors de l’investigation d’événements notables, et forment un excellent point de départ pour l’automatisation de certains processus, avant l’adoption d’une pratique complète d’orchestration, d’automatisation et de réponse de sécurité avec Splunk SOAR.
Automatisation pilotée par des invites
L’automatisation basée sur les invites vous permet d’envoyer des invites sécurisées en temps réels aux équipes extérieures au SOC afin de rationaliser les workflows de réponse et de résoudre plus rapidement les incidents de sécurité. Transmettez des invites via vos applications ITOps, ChatOps et de ticket habituelles.
Automatisation guidée
L’automatisation guidée génère une toute nouvelle expérience visuelle qui superpose les données réelles d’un incident à la séquence logique du playbook. Pour les analystes, cela réduit considérablement le temps consacré à l’élaboration des automatisations, tout en améliorant leur précision.
Création de playbooks avec l’intégration native du SIEM et du SOAR
Les fonctionnalités de Splunk SOAR 6.3 sont désormais nativement intégrées à Splunk Enterprise Security 8.0. Suivez cette démo pour apprendre à créer facilement un playbook Splunk SOAR dans le contexte de vos workflows SIEM. Les playbooks et les actions sont désormais directement intégrés à la file analyste de Splunk Enterprise Security. Vous pouvez exécuter des playbooks et voir les résultats sans quitter l’interface de Splunk Enterprise Security. Cette intégration nécessite une licence Splunk SOAR et Splunk Enterprise Security.
Playbooks
Automatisez les tâches de sécurité pour maîtriser rapidement les workflows complexes avec les playbooks Splunk SOAR.
Éditeur de playbooks visuel et playbooks à entrées
Que vous soyez novice du code ou spécialiste de Python, Splunk SOAR vous donne les moyens de créer et de personnaliser des playbooks. Le Visual Playbook Editor de Splunk SOAR simplifie le processus de création : vous pouvez assembler des workflows personnalisés à partir de blocs de code et de chaînes d’actions prédéfinis. Splunk SOAR comprend également des playbooks à entrées, qui sont destinés aux tâches informatiques courantes et peuvent s’intégrer à des playbooks plus vastes et à des workflows de sécurité. La sélection de playbooks prédéfinis vous permet de vous lancer sans attendre dans l’automatisation.
Logic Loops
Fonctionnalité de Splunk SOAR, Logic Loops permet aux utilisateurs d’alléger la complexité du processus de création et de maintenance des playbooks qui requièrent des fonctions de boucle reproductibles, sans avoir à rédiger du code personnalisé. Cette fonction itérative permet aux utilisateurs de relancer automatiquement des opérations du playbook en cas d’échec ou de poursuivre son exécution en cas de réussite. Elle est particulièrement utile pour les moteurs de sandbox qui mettent des URL malveillantes en quarantaine ou exécutent des mesures de correction, ainsi que dans les workflows d’investigation.
Fonctions personnalisées
Les fonctions personnalisées de Splunk SOAR vous permettent de partager du code personnalisé entre différents playbooks tout en introduisant des objets de données complexes dans les parcours d’exécution. Il ne s’agit pas seulement de playbooks prêts à l’emploi, mais bien de modules personnalisés qui vous permettent de réduire le temps et les efforts nécessaires. Ces fonctions sont les blocs qui servent de base à l’élargissement de l’automatisation, y compris pour les utilisateurs qui ne codent pas.
Configuration des outils tiers
Pour prendre un bon départ avec Splunk SOAR, vous devez configurer un actif. Les actifs sont les actifs de sécurité et d’infrastructure que vous intégrez à la plateforme Splunk SOAR, comme les pare-feux et les produits d’endpoints. Splunk SOAR se connecte à ces actifs via des applications. Les applications prolongent la plateforme en intégrant des produits et des outils de sécurité tiers.
Éditeur d’application
Outre nos applications prêtes à l’emploi, Splunk SOAR permet également de développer des applications personnalisées répondant parfaitement à vos scénarios d’utilisation prioritaires. Dans l’App Editor de Splunk SOAR, vous pouvez facilement voir et ajouter du code, tester des actions, consulter les résultats des logs et résoudre les problèmes. Ce gain de visibilité sur le fonctionnement de vos applications informe leur développement au fil de l’évolution de vos besoins et de votre SOC.
Applications
Splunk SOAR s’intègre à plus de 300 outils tiers et prend en charge plus de 2 800 actions automatisées grâce à notre catalogue de connecteurs sur Splunkbase. Vous pouvez ainsi connecter et coordonner les workflows multi-outils complexes de vos équipes sans refonder l’intégralité de votre pile. Toutes les applications Splunk SOAR sont disponibles sur Splunkbase.
