AgenticOps et SOC agentique, les concepts inédits de Splunk

AgenticOps, ou l’administration des agents comme une ressource IT

Concernant l’AgenticOps, il s’agit de gérer une télémétrie spécialisée pour confirmer que les modèles d’IA déployés au sein d’une entreprise fonctionnent conformément aux objectifs métiers et aux coûts souhaités par cette entreprise.

Les fonctions liées à l’AgenticOps parsèmeront les différents produits d’observabilité de Splunk, sous le nom générique d’AI Agent Monitoring. Elles serviront à déployer des agents d’IA afin d’automatiser l’analyse de données télémétriques, de configurer des alertes selon des seuils et des plafonds (trafic, coûts des services consommés), d’identifier les causes profondes d’un problème et de recommander des correctifs.

La collecte et l’analyse des métriques issues des agents d’IA se feront via le nouveau module AI Troubleshooting Agents présent à la fois dans Splunk Observability et AppDynamics. La corrélation automatisée des métriques se configurera via l’outil Event IQ présent dans la solution Splunk IT Service Intelligence (ITSI). Toujours dans ITSI, un nouveau module Episode Summarization proposera des aperçus des alertes regroupées par tendance, par niveau d’impact, par cause profonde.

Le SOC agentique véritable copilote des analystes de sécurité

Splunk a également dévoilé une série de fonctionnalités d’IA que l’entreprise compte lancer pour soutenir le nouveau concept de SOC agentique (centre des opérations de sécurité, agentique). Il s’agit de permettre aux analystes en sécurité de se concentrer sur la prise de décisions stratégiques tandis que l’IA se charge des tâches de routine.

« De nombreuses entreprises recueillent des quantités astronomiques de données, mais ont du mal à identifier les plus importantes et à quel moment les exploiter. Elles se retrouvent alors avec des angles morts et des inefficacités opérationnelles au sein de leurs équipes SecOps et ITOps. L’enjeu de ces nouvelles fonctionnalités d’IA est que les délais de détection et de réponse ne soient plus ralentis et que l’entreprise ne soit plus exposée à des menaces évitables », argumente Kamal Hathi, le directeur général de Splunk (en photo en haut de cet article).

D’autres améliorations basées sur l’IA sont en cours de déploiement afin de renforcer les opérations de sécurité, notamment :

• Triage Agent. Cet agent de tri basé sur l’IA évalue, hiérarchise et explique les alertes, même en cas d’évolution lente ou de volume faible des problèmes. Le travail des analystes de sécurité s’en trouve réduit, car l’agent met en évidence les éléments les plus importants.
• Malware Reversal Agent : cet outil explique ligne par ligne les scripts malveillants, extrait les indicateurs de compromission, signale les tentatives d’évasion et regroupe les comportements récurrents.
• AI Playbook Authoring : traduit l’intention du langage naturel en playbooks SOAR fonctionnels et éprouvés, avec l’aide de l’IA tout au long du processus.
• Response Importer : les agents d’IA respectent les procédures d’exploitation standardisées (SOP) définies par le SOC et utilisent des LLM multimodaux pour importer les SOP dans les plans de réponse de Splunk Enterprise Security.
• AI-Enhanced Detection Library : permet de passer de l’hypothèse à la production en quelques minutes.
• Personalized Detection SPL Generator : personnalise les détections au sein de la bibliothèque afin de les adapter aux environnements SOC uniques et de les rendre directement utilisables.