Automatisation de la sécurité : Splunk intègre les fruits de ses rachats

Splunk a profité de l’édition 2018 de sa conférence utilisateurs, qui se déroulait début octobre à Orlando, pour lever le voile sur les versions 5.2 de sa solution Enterprise Security (ES) et 4.2 de son module de détection d’anomalies comportementales, aux côtés de la nouvelle itération de la plateforme d’automatisation et d’orchestration de la sécurité (ou SOAR), Phantom, la première depuis son rachat en février dernier.

Les nouvelles moutures de Splunk ES et UBA constituent des mises à jour incrémentales. Si elles ne sont pas majeures, les nouveautés n’en sont pas moins au rendez-vous.

UBA 4.2, qui doit sortir dans le courant du mois, s’inscrit donc dans la continuité de la version 4.0 lancée il y a près d’un an, et de la 4.1, disponible depuis le mois de mai, toutes ayant déjà été enrichies de nouveaux modèles d’anomalies comportementales, de menaces, de classification ou encore de moteur d’ingestion de données. La principale nouveauté d’UBA 4.2 est l’apprentissage par rétroaction qui permet aux analystes de faire progresser le modèle d’évaluation des anomalies pour affiner ses capacités de détection. Splunk revendique également des performances d’ingestion de données améliorées, jusqu’à un facteur 2, ou encore le support du SSO.

Pour la version 5.2 d’ES, Splunk fait état de plusieurs nouveautés, à commencer par un nouveau système de séquencement d’événements afin d’accélérer l’analyse des menaces. A cela s’ajoute une nouvelle bibliothèque de cas d’usage devant aider les analystes à découvrir ce à quoi peut correspondre une menace observée, par exemple compte tenu de tactiques d’attaquants connus, afin de pouvoir prendre des décisions plus éclairées sur les actions à engager.

A tout cela s’ajoute assez naturellement la nouvelle version de la plateforme d’automatisation et d’orchestration de Phantom, un an après sa troisième itération. Cette nouvelle mouture doit notamment supporter de vastes environnements, avec le support des déploiements en grappes. Elle permet en outre aux analystes d’accéder aux données par indicateurs, plutôt que par événements, se rapprochant ainsi de l’expérience offerte par les plateformes de gestion du renseignement sur les menaces (TIP), peut-être plus familière pour certains. Enfin, Splunk devient sans surprise le moteur de recherche par défaut de Phantom – mais il est toujours possible, optionnellement, de s’appuyer sur Elasticsearch.