Nouvelles fonctionnalités de Splunk Enterprise Security 8.0
Unification du processus TDIR
Splunk Enterprise Security 8.0 est une révolution pour les workflows du SOC. Cette solution permet aux analystes de sécurité de détecter les événements qui comptent, de mener des investigations poussées et de réagir rapidement. Optimisez les opérations de sécurité en adoptant des workflows TDIR complets et unifiés, une terminologie simplifiée, des fonctions modernes d’agrégation et de tri, et des outils de détection plus performants. Cette démonstration complète aborde l’ensemble des fonctionnalités et des capacités de Splunk Enterprise Security 8.0.
File des analystes
Dans cette démo « Le SIEM en quelques secondes », nous allons découvrir les possibilités de la nouvelle file analyste de Splunk Enterprise Security 8.0. C’est là que les analystes de sécurité passent le plus de temps à trier les alertes et à investiguer. Dans le nouveau panneau latéral de droite, les analystes retrouvent toutes les informations associées à une détection et peuvent immédiatement lancer les investigations et des réponses automatiques.
Gestion des versions des détections
Dans cette démo « Le SIEM en quelques secondes », vous découvrirez comment la gestion des versions de détection facilite l’adoption des bonnes pratiques dans Splunk Enterprise Security 8.0. Cette fonctionnalité assure un contrôle natif et automatique des versions des détections ESCU et développées en interne. Les ingénieurs en détection disposent ainsi d’un moyen simple et efficace d’enregistrer de nouvelles versions des détections, de les sauvegarder, de rétablir des versions antérieures en un clic et d’assurer la maintenance des détections personnalisées.
Détections
Dans cette démo « Le SIEM en quelques secondes », vous apprendrez à exploiter les détections et leur contenu dans Splunk Enterprise Security 8.0. Cette nouvelle version de Splunk Enterprise Security propose une bibliothèque complète de contenus de détection, et elle est bien plus facile à gérer. Les contenus sont plus clairs, mieux organisés et plus faciles à suivre, ce qui facilite l’identification et la mise à jour des contenus obsolètes pour les ingénieurs en détection.
Détections basées sur les observations
Dans cette démo « Le SIEM en quelques secondes », vous découvrirez comment les détections basées sur les observations aident votre équipe de sécurité à interpréter rapidement les incidents de sécurité pour apporter la réponse optimale. Ces détections s’appuient sur l’observation d’une information ou d’une analyse spécifique : horodatage, paire clé-valeur, information sur une entité, impact, score de risque, objet de menace et autres.
Investigations
Dans cette démo « Le SIEM en quelques secondes », vous découvrirez les nouveautés des workflows d’investigation dans Splunk Enterprise Security 8.0, pour comprendre comment ils réduisent le temps moyen de réponse (MTTR) aux incidents.
Plans de réponse
Dans cette démo « Le SIEM en quelques secondes », vous découvrirez comment les plans de réponse intégrés à Splunk Enterprise Security permettent aux utilisateurs de collaborer et de mener à bien des workflows de réponse aux incidents face aux scénarios de sécurité courants, sans difficulté. Grâce aux modèles de plan de réponse, les utilisateurs voient toutes les phases du plan de réponse, leur attribuent des acteurs spécifiques, et appliquent des playbooks d’automatisation pour accélérer la correction.
Unification des workflows SIEM et SOAR
Dans cette démo « Le SIEM en quelques secondes », vous découvrirez comment tout est centralisé au sein d’une même interface unifiée grâce à l’intégration directe des playbooks et des actions de Splunk SOAR avec les fonctions de gestion des cas et d’investigation de Splunk Enterprise Security et de Mission Control. Optimisez le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) aux incidents. Les analystes détectent les menaces, investiguent et réagissent à partir d’une même interface de travail moderne et unifiée.
Fonctionnalités
Topologie des menaces
La topologie des menaces permet aux analystes d’estimer l’étendue d’un incident en cartographiant l’ensemble des risques et des objets de menace associés. Ils comprennent instantanément la portée d’un incident de sécurité et accèdent rapidement aux différents actifs et utilisateurs concernés au cours de l’investigation, ce qui permet de gagner en efficacité et en productivité.
Matrice du framework MITRE ATT&CK
Dans Splunk Enterprise Security, la fonction Framework MITRE ATT&CK permet aux analystes de sécurité de comprendre rapidement les circonstances d’un incident dans le contexte de la matrice MITRE ATT&CK et d’accéder instantanément à la documentation MITRE associée.
Tableau de bord Security Posture
Reposant sur une plateforme évolutive, Splunk Enterprise Security (ES) fournit des informations basées sur les données pour vous offrir une visibilité totale sur votre organisation.
Le tableau de bord Security Posture donne un aperçu de haut niveau des événements notables émergeant en temps réel au sein de votre centre des opérations de sécurité. Vous pouvez configurer le tableau de bord en ajoutant les KPI qui vous intéressent et suivre leur évolution sur une période de 24 heures.
Tableau de bord Executive Summary
Donnez au RSSI et aux autres décideurs une visibilité accrue sur l’état général du programme de sécurité grâce à des filtres qui permettent de contrôler l’évolution des indicateurs au fil du temps.
Tableau de bord Soc Operations
Obtenez des informations précises sur l’efficacité et les performances de votre équipe SOC, comme le MTTD et le nombre de notables, pour informer les responsables du SOC et les chefs d’équipe.
Tableau de bord Incident Review
C’est l’interface principale qui regroupe les détections ou événements notables. Le tableau de bord Notable Events est le point de départ des investigations sur un incident. Vous pouvez trier les incidents en fonction de leur sévérité pour traiter les plus urgents en priorité.
Alertes basées sur les risques (RBA)
Les alertes basées sur le risque, ou « RBA », s’appuient sur les détections prêtes à l’emploi de Splunk ES pour réduire considérablement les taux de faux positifs et accroître la productivité de votre SOC. La fonction RBA attribue un niveau de risque aux utilisateurs et aux systèmes, et émet des alertes lorsque des seuils de risque et de comportement sont franchis.
Dans Incident Review, vous pouvez rapidement accéder à la chronologie des événements qui ont contribué à un notable (ou un notable de risque) généré par la RBA.
Actions Adaptive Response
Les actions Adaptive Response peuvent être déclenchées manuellement ou automatiquement lorsqu’un événement notable est généré.
Elles peuvent collecter du contexte ou accélérer le processus de réponse et de correction lors de l’investigation d’événements notables, et forment un excellent point de départ pour l’automatisation de certains processus, avant l’adoption d’une pratique complète d’orchestration, d’automatisation et de réponse de sécurité avec Splunk SOAR.
Threat Intelligence et SOAR
Splunk Intelligence Management permet aux équipes de sécurité d’opérationnaliser les sources d’informations de sécurité internes et externes de l’ensemble de leur écosystème en délivrant directement les informations dans Splunk ES et Splunk SOAR.
Splunk SOAR partage ses informations de façon transparente avec Splunk ES pour accélérer les investigations et la prise en charge des incidents en enrichissant les alertes et en accomplissant des tâches en un clin d’œil.
Analyse comportementale
Splunk User Behavior Analytics (UBA) s’intègre à Splunk ES pour améliorer la visibilité, renforcer la sécurité et simplifier les investigations, permettant ainsi aux analystes de se concentrer sur les alertes haute fidélité. UBA utilise le machine learning pour profiler le comportement des utilisateurs et des entités, identifier les menaces réelles et les transmettre à Splunk ES.
Le service d’analyse comportementale est également disponible pour les clients qui ont déployé Splunk ES dans le cloud. Il fournit une visibilité de sécurité complète qui permet de mettre au jour les menaces invisibles et inconnues grâce à l’analyse de flux.
Mises à jour du contenu ES et bibliothèque de scénarios d’utilisation
La Splunk Threat Research Team publie du contenu de sécurité sous forme de détections et de réponses prêtes à l’emploi pour aider votre équipe à garder une longueur d’avance sur les dernières menaces.
Retrouvez ce contenu dans la Bibliothèque des scénarios d’utilisation sous la forme de scénarios analytiques, que vous pouvez filtrer par scénario d’utilisation ou par framework, comme MITRE ATT&CK.
Asset Investigator et Security Domains
Le tableau de bord Asset Investigator agrège les événements au fil du temps et les organise en couloirs d’activité pour faciliter la recherche des menaces et la collecte de preuves. Chaque couloir met en évidence les périodes de haute et faible activité à l’aide d’un code couleur, afin de révéler les motifs remarquables dans les actions de l’hôte et des utilisateurs.
La section Security Domains rassemble des tableaux de bord prêts à l’emploi qui ciblent des aspects particuliers : suivi des tentatives de connexion, faille des terminaux et intrusions sur le réseau, notamment. Vous pouvez les parcourir et les corréler pour accélérer la résolution des incidents.
Tableau de bord Risk Analysis
Le tableau de bord Risk Analysis suit et catégorise les actifs par niveau de risque. Par exemple, les actifs qui affichent soudainement un pic d’activité sont traités en priorité par rapport à ceux qui contiennent peu d’informations confidentielles, afin de réduire le bruit des alertes.
Tableau de bord Access Anomalies
Le tableau de bord Access Anomalies est une autre fonction d’information de sécurité dans Splunk ES. Access Anomalies met en évidence les comportements inhabituels de vos utilisateurs, notamment les tentatives d’authentification simultanées provenant de différentes adresses IP et les anomalies de déplacements improbables.
Workbench d’investigation
Au cours d’une investigation, accédez rapidement au Workbench d’investigation qui centralise la threat intelligence, le contexte de sécurité et les données pertinentes sur les utilisateurs et les appareils, pour une évaluation rapide et précise des incidents.
La chronologie d’investigation favorise la collaboration et le suivi des investigations. On peut aussi lancer facilement des recherches ad hoc depuis le Workbench, pour gagner du temps et rester concentré sur l’investigation.
