Qu’est-ce que Splunk ? Concepts, fonctionnalités & produits

Qu’est-ce que Splunk ? Concepts, fonctionnalités & produits

Adem K.
Calendar picto
1/6/2022
Clock picto
5min

Splunk Inc. est une multinationale basée à San Francisco dont la plateforme logicielle indexe les données des machines et les rend consultables afin de les transformer en intelligence exploitable.

Quel est le concept de Splunk ?

La plateforme Splunk regroupe et analyse les échappements numériques provenant de diverses sources, notamment les pulls d'interface de programme d'application (API) et les logs des applications, des serveurs, des appareils mobiles et des sites Web.

Souvent surnommé le "Google des logs", Splunk se présente également comme une société de gestion des informations et des événements de sécurité (SIEM). Le SIEM est essentiellement la gestion des logs appliquée à la sécurité : en unifiant les données des fichiers de logs collectées à partir de divers systèmes et appareils dans un environnement informatique, les utilisateurs peuvent effectuer des analyses de sécurité de haut niveau et des évaluations de l'état de leurs systèmes à partir d'une interface unique.

La plupart des SIEM ne peuvent pas suivre le rythme de la sophistication et du rythme des récentes cybermenaces. Il s'agit d'une solution de sécurité axée sur l'analyse qui va au-delà du SIEM pour traiter la détection des menaces avancées, la surveillance de la sécurité, la gestion des incidents et la criminalistique en temps réel. Ce système axé sur l'analyse peut améliorer votre visibilité sur plusieurs systèmes et, grâce à la collaboration croisée, il fournit un système de sécurité solide.

Quelles sont les principales caractéristiques de Spunk ?

  1. Surveillance de la sécurité

Splunk surveille en permanence toutes les ressources et activités du réseau, 24 heures sur 24 et 7 jours sur 7, afin de détecter les comportements anormaux avant qu'ils ne constituent une menace sérieuse pour l'organisation. Grâce aux informations fournies par Splunk, les équipes de sécurité peuvent obtenir une vue détaillée, basée sur des données, des performances, de la santé et des vulnérabilités du réseau à tout moment. Les activités malveillantes ou à haut risque détectées par Splunk alertent automatiquement les parties concernées avec des informations contextuelles complètes détaillant la menace.

Splunk permet de collecter des données de non-sécurité et de sécurité à travers les silos organisationnels et les environnements multi-clouds pour de meilleures enquêtes et réponses aux incidents. La solution facilite l'analyse de ces données centralisées en les convertissant en événements avec horodatage. Elle commence par analyser les données pour identifier les lignes de rupture et les champs par défaut, coder les caractères, définir un horodatage s'il n'y a pas de champ de date, et même masquer certaines données. Ensuite, toutes ces données sont distribuées efficacement dans le cluster afin que les vitesses de recherche et d'indexation restent rapides.

  • Alertes d'événements automatisées
  • Collecte automatique des journaux d'événements pour tous les appareils, applications et activités des utilisateurs.
  • Tableaux de bord utilisateur graphiques et riches en données
  • Paramètres de corrélation prédéfinis et personnalisables
  • Collecte de données critiques pour maintenir la préparation aux audits

  1. Détection avancée des menaces

La surveillance intelligente de l'infrastructure, des applications, des utilisateurs et des autres ressources du réseau dans tous les environnements permet à Splunk de détecter et de contextualiser les menaces actives ou les comportements anormaux lorsqu'ils se produisent en temps réel. Splunk établit des corrélations croisées entre les journaux d'événements afin de mettre au jour des indicateurs de compromission ou de relations malveillantes. Les équipes de sécurité peuvent ainsi s'attaquer immédiatement aux menaces potentielles avant que des dommages importants ne soient causés au réseau.

  • Visibilité et analyse du réseau de bout en bout
  • Classification intelligente des menaces
  • Corrélation des journaux d'événements entre les appareils et les environnements
  • Méthodologie de la chaîne d'élimination pour identifier les menaces avancées
  • Analyse du comportement de l'utilisateur (UBA) pour détecter les anomalies comportementales et/ou statistiques.

  1. Analyse du comportement de l'utilisateur

En s'appuyant sur des algorithmes d'apprentissage automatique, Splunk établit de manière proactive une base de référence du comportement du réseau et corrèle le comportement des utilisateurs à travers les sources de données et les environnements afin de détecter les menaces de sécurité difficiles à détecter. Les écarts par rapport à l'activité régulière du réseau alertent automatiquement les équipes de sécurité désignées afin qu'elles puissent rapidement atténuer les menaces et/ou mener des enquêtes médico-légales en plusieurs étapes si nécessaire.

  • Détection précoce et automatisée des brèches
  • Surveillance continue et automatisée des menaces
  • Détection des comptes compromis, des menaces internes, des mouvements latéraux, etc.
  • Corrélation des journaux d'événements entre plusieurs sources de données
  • Évaluation du risque pour l'utilisateur

  1. Réponse aux incidents

Dès qu'une menace est détectée, les équipes de sécurité peuvent réagir rapidement avec un degré de confiance plus élevé qu'avec les technologies SIEM traditionnelles. Splunk contextualise les données d'événements à travers les environnements et automatise les workflows de réponse afin que les analystes puissent facilement confirmer, hiérarchiser et engager les menaces avec les informations pertinentes dont ils ont besoin.

  • Alertes d'événements avec hiérarchisation des menaces
  • Tirez automatiquement des informations pertinentes sur les menaces à travers les appareils et les environnements.
  • Automatisation des flux de réponse
  • Tableaux de bord et affichages graphiques riches en données

  1. Recherche d'incidents

Splunk surveille et enregistre chaque jour de vastes ensembles de données d'informations de sécurité glanées dans une variété de sources réseau. Les équipes de sécurité peuvent utiliser cette source de données pour mener des enquêtes médico-légales approfondies sur les origines d'une brèche ou valider les menaces émergentes afin d'avoir une meilleure idée de la performance de leurs efforts de sécurité (et apporter des améliorations en conséquence).

  • Triage des alertes pour identifier automatiquement les incidents de haute priorité
  • Données consultables sur les appareils, les utilisateurs, les applications, les périodes, etc.
  • Visualisations et rapports personnalisables
  • Possibilité de cartographier les séquences d'événements et d'activités

Quelles sont les limites du SIEM traditionnel? 

  • Types de données de sécurité limités
  • Incapacité d'ingérer des données de manière efficace
  • Système d'investigation lent
  • Assez lent et feuille de route incertaine
  • Écosystème fermé
  • Limité au déploiement sur site
  • Les cas d'utilisation ne sont pas exploitables

Quels sont les avantages de Splunk ?

  • Interface graphique améliorée avec des tableaux de bord
  • Dépannage plus rapide avec des résultats instantanés
  • Mieux adapté à l'analyse des causes profondes
  • Accédez à la création de tableaux de bord, de graphiques et d'alertes
  • Enquêter et rechercher des résultats spécifiques
  • Surveillez les indicateurs d'activité pour prendre des décisions éclairées
  • C'est l'intelligence artificielle couplée au SIEM traditionnel en tant que service
  • Meilleure gestion des journaux provenant de sources multiples
  • Accepte les données dans plusieurs formats
  • Possibilité de créer un référentiel central pour les données Splunk collectées à partir de plusieurs sources.

Quels sont les principaux produits proposés par Splunk ?

Disponible sur site, en tant que service cloud ou en tant que solution hybride, la gamme de Splunk comprend les éléments suivants :

  • Splunk Enterprise - surveille et analyse les données des machines, quelle que soit leur source, afin de fournir une intelligence opérationnelle permettant d'optimiser les performances de l'informatique, de la sécurité et de l'entreprise. L'offre comprend des fonctions d'analyse intuitives, l'apprentissage automatique, des applications packagées et des API ouvertes, et peut évoluer de cas d'utilisation ciblés à une dorsale analytique à l'échelle de l'entreprise.

  • Splunk Cloud - exploite les avantages de Splunk Enterprise en tant que service en cloud, évolue jusqu'à plusieurs téraoctets par jour et offre un environnement hautement sécurisé.

  • Splunk Light - conçu pour accélérer le dépannage tactique en rassemblant en un seul endroit les données de logs en temps réel provenant d'applications et d'infrastructures distribuées, afin de permettre des recherches puissantes, des tableaux de bord dynamiques, des alertes et des rapports d'analyse en temps réel.

  • Splunk Enterprise Security - une offre SIEM, fournit un aperçu des données des machines provenant des technologies de sécurité telles que le réseau, les points de terminaison, l'accès, les logiciels malveillants, la vulnérabilité et les informations d'identité.

  • Splunk IT Service Intelligence - une solution de surveillance et d'analyse du trafic réseau qui utilise l'apprentissage automatique et l'analyse des événements pour fournir des informations exploitables.

  • Splunk User Behavior Analytics - un outil alimenté par l'apprentissage automatique pour trouver des menaces inconnues et des comportements anormaux parmi les utilisateurs, les dispositifs d'extrémité et les applications.

Pour conclure, Splunk n'est pas totalement un SIEM mais il peut être utilisé à des fins similaires. Il est principalement destiné à la gestion des logs et stocke les données en temps réel sous forme d'événements dans des indexeurs. Il permet de visualiser les données sous forme de tableaux de bord.