[14/06/2024] Splunk ha anunciado nuevas capacidades de seguridad destinadas a reforzar la detección de amenazas y las operaciones de seguridad en múltiples fuentes de datos. Según lo señalado en el comunicado de prensa, estos avances incluyen Splunk Enterprise 8.0, que permite a los equipos de seguridad gestionar y mitigar los riesgos de forma proactiva y eficaz, y una nueva función de análisis federado, que analiza los datos directamente donde se almacenan para la búsqueda de amenazas y la detección frecuente de amenazas.
"A medida que las organizaciones se enfrentan a desafíos de seguridad cada vez más sofisticados, una solución unificada de detección, investigación y respuesta a amenazas (TDIR, por sus siglas en inglés) es crucial para impulsar el Centro de Operaciones de Seguridad (SOC) del futuro. Las últimas ofertas de Splunk abordan esta necesidad al fortalecer los elementos fundamentales, ofrecer una visibilidad de seguridad integral, una detección precisa de amenazas y flujos de trabajo optimizados para una respuesta rápida, lo que en última instancia ahorra tiempo con soluciones rentables”, sostuvo Mike Horn, vicepresidente sénior y gerente general de Splunk Security Products.
Ahora, añadió el ejecutivo, con Mission Control integrado de forma nativa, Splunk Enterprise Security 8.0 simplifica la forma en que los analistas de seguridad detectan, investigan y responden a las amenazas desde una interfaz moderna para una mayor eficiencia y velocidad operativas. "Con terminología estandarizada y automatización unificada a través de Splunk SOAR, Splunk Enterprise Security 8.0 agiliza la clasificación de alertas y las investigaciones, mejorando la detección con análisis avanzados. Como resultado, los analistas de seguridad pueden aprovechar flujos de trabajo optimizados, respuestas más rápidas y productividad mejorada”.
Horn sostuvo que con las nuevas mejoras de Splunk Enterprise Security 8.0, los equipos de seguridad pueden:
- Aprovechar una experiencia de flujo de trabajo fluida: Splunk Enterprise Security 8.0 ofrece una superficie de trabajo unificada y planes de respuesta para ayudar a los clientes a identificar, evaluar y responder a las amenazas.
- Impulsar investigaciones más eficientes: Capacidades modernas de agregación y clasificación con un solo clic para agregar automáticamente los hallazgos en función de criterios preestablecidos para obtener una visión completa de la información crítica.
- Ahorrar tiempo centrándose en los incidentes críticos: La detección mejorada ofrece capacidades llave en mano para comprender e implementar una estrategia de alerta basada en el riesgo, lo que genera alertas agregadas de alta confianza para las investigaciones.
- Comunicarse de manera más efectiva y tomar medidas rápidas: Términos claros y concisos que se alinean con cada fase de un flujo de trabajo de seguridad dentro de Splunk Enterprise Security 8.0.
Análisis federado
La función Federated Analytics de Splunk, disponible en versión preliminar privada en Splunk Cloud Platform y en las implementaciones en la nube de Splunk Enterprise Security, presenta un nuevo enfoque para el análisis de datos, sostuvo el ejecutivo. "Esta solución permite a los clientes analizar los datos directamente donde residen, comenzando con Amazon Security Lake, un servicio que centraliza automáticamente los datos de seguridad de una organización de sus entornos de Amazon Web Services (AWS), los principales proveedores de SaaS, los entornos locales y las fuentes de nube en un lago de datos especialmente diseñado, para la búsqueda de amenazas y la incorporación de datos específicos a Splunk para la detección frecuente de amenazas. Al integrarse con Amazon Security Lake, Federated Analytics permite a las organizaciones detectar e investigar incidentes de seguridad de manera eficiente sin necesidad de reubicar los datos. Esta capacidad garantiza un análisis de datos rápido y rico en contexto y mejora la agilidad operativa, preparando el escenario para futuras expansiones a plataformas de datos adicionales”.
Con Federated Analytics, Horn anotó que los equipos de seguridad pueden:
- Analizar los datos dondequiera que residan: Garantizar el acceso oportuno y el análisis de los datos en todas las ubicaciones de almacenamiento, manteniendo la integridad de los datos y reduciendo la latencia.
- Unificar la visibilidad de la seguridad en todos sus datos: Integrar y analizar los datos de Splunk y Amazon Security Lake con una experiencia de analista fluida, lo que proporciona una visión holística de los datos de seguridad y reduce los costos y las complejidades logísticas.
- Aumentar la eficiencia y la rentabilidad: Optimizar los costos operativos a través de estrategias inteligentes de gestión de datos, como la organización en niveles de datos y la ingesta selectiva de datos, lo que reduce significativamente los gastos asociados con la gestión de datos.
"Con Amazon Security Lake y Federated Analytics de Splunk, los clientes ahora tienen acceso a avances significativos en seguridad y accesibilidad de datos, lo que respalda casos de uso de SOC como el monitoreo y la búsqueda de amenazas", dijo Mark Terenzoni, director de administración de riesgos de Amazon Web Services. "La solución Federated Analytics permite a las organizaciones aprovechar las capacidades integrales de Amazon Security Lake y, al mismo tiempo, mantener medidas de seguridad sólidas. Estamos entusiasmados con nuestra colaboración con Splunk para permitir a los clientes realizar la indexación justo a tiempo para grandes volúmenes de fuentes de datos sin necesidad de mover datos para casos de uso de investigación. Federated Analytics y Open Cybersecurity Schema Framework (OCSF) subrayan nuestra visión compartida de impulsar la innovación y la eficiencia en ciberseguridad".
Integración de Cisco Talos con los productos de seguridad de Splunk
Horn anotó que, tras la adquisición de Splunk por parte de Cisco, los equipos de seguridad podrán aprovechar el poder de la inteligencia de amenazas de Cisco Talos a través de Splunk Attack Analyzer, Splunk Enterprise Security y Splunk SOAR para mejorar la defensa contra amenazas conocidas y emergentes.
La integración técnica de la inteligencia en tiempo real de Talos está en marcha en toda la cartera de Splunk, incluidos Splunk Enterprise Security, Splunk SOAR y Splunk Attack Analyzer.
Disponibilidad
Splunk Enterprise Security 8.0 se encuentra ahora en versión preliminar privada, con disponibilidad general en septiembre del 2024. La función Federated Analytics de Splunk estará disponible en versión preliminar privada a partir de julio del 2024.
La integración de inteligencia de amenazas de Cisco Talos con Splunk Enterprise Security, Splunk SOAR y Splunk Attack Analyzer estará disponible pronto.
Otros anuncios
Splunk Data Management: Splunk anunció también nuevas innovaciones en la gestión de datos que aseguran proporcionan a los clientes una visibilidad más rica y unificada en toda su empresa, y ayudan a lograr una propiedad de datos más completa. A través de la nueva cartera de Splunk Data Management, los clientes pueden enviar, compartir y procesar sus datos a través de Splunk Cloud Platform y Splunk Observability Cloud.
"A través de las nuevas capacidades de gestión de datos de Splunk, las organizaciones pueden preprocesar los datos a través de una única canalización y lograr una visibilidad de extremo a extremo. La experiencia centralizada permite a los equipos de SecOps, ITOps e ingeniería tener un mayor control sobre la forma, el volumen y el destino de sus datos y unificar la recopilación de sus métricas y registros”, sostuvo Tom Casey, vicepresidente senior y gerente general de Productos y Tecnología, en el comunicado de prensa.
El ejecutivo anotó que las innovaciones disponibles o próximas dentro de la nueva cartera de Splunk Data Management incluyen:
- Los Pipeline Builders, con tecnología SPL2, permiten a los clientes filtrar, enmascarar, transformar y enriquecer sus datos, lo que ayuda a simplificar el procesamiento de datos y a reducir los costos incurridos. Los clientes ahora tienen la opción de administrar la canalización: Edge Processor como una oferta administrada por el cliente para aquellos que desean tener más control sobre los datos antes de que salgan de los límites de su red; y el nuevo procesador de ingesta como una oferta alojada en Splunk para los clientes que se conectan por completo a la nube.
- Ingest Processor unifica la gestión de datos en Splunk Platform y Splunk Observability Cloud. Esta innovación introduce la capacidad de convertir registros en métricas y enrutarlos a Splunk Observability Cloud como punto de enlace, además de Splunk Cloud Platform o Amazon S3, para un control de volumen y un tiempo de respuesta más efectivos.
El generador de canalizaciones de administración de datos, Edge Processor, ya está disponible con carácter general para todas las regiones globales, y Ingest Processor estará disponible con carácter general en varias regiones en julio del 2024. Federated Analytics estará en versión preliminar privada en julio del 2024.
Herramientas de IA: Splunk presentó además una colección de herramientas de IA en toda su cartera de productos para permitir a las organizaciones acelerar las tareas rutinarias y mejorar su capacidad para obtener información de los datos rápidamente. Los asistentes generativos impulsados por IA de Splunk pueden ayudar a cada usuario a convertirse en un experto en seguridad y observabilidad.
Splunk ha ampliado sus capacidades de IA con nuevos asistentes de IA generativa en Observability Cloud y Security, proporcionando a los clientes una visibilidad de TI mejorada y capacidades mejoradas de mitigación proactiva de amenazas. Además, la compañía ha puesto a disposición del público su Splunk AI Assistant for SPL, lo que ayuda a los clientes a obtener información de Splunk utilizando lenguaje natural. Además, Splunk dio a conocer nuevas capacidades de IA para IT Service Intelligence (ITSI), incluido Configuration Assistant, destinado a agilizar los procesos de configuración y optimizar la eficiencia operativa, junto con la detección de desviaciones para KPI y umbrales adaptativos a nivel de entidad para una detección más precisa.
"La IA es la piedra angular de la estrategia de Splunk para impulsar mejoras con nuestras soluciones de seguridad y observabilidad líderes en la industria", dijo Hao Yang, vicepresidente y director de IA de Splunk, en el comunicado de prensa. "Nuestros asistentes de IA están diseñados para ayudar a los usuarios a hacer su trabajo de manera más fácil y rápida. Actualmente estamos agregando herramientas de IA generativa a nuestra cartera de productos para acelerar los flujos de trabajo de detección, investigación y respuesta. De cara al futuro, nuestro objetivo es perfeccionar aún más la integración de tecnologías avanzadas de IA y seguir ofreciendo resultados de TI más fiables y seguros para nuestros clientes".
El ejecutivo anotó que el Asistente de IA en Observability Cloud presenta una función generativa impulsada por IA diseñada para agilizar la detección, la exploración y la investigación para los equipos de ingeniería, con una interfaz de lenguaje natural. "Al analizar métricas, rastros y registros, el Asistente de IA ayuda a permitir que los desarrolladores de software y los ingenieros de confiabilidad del sitio (SRE) extraigan rápidamente información valiosa, acelerando sus tareas diarias, el análisis de la causa raíz y la resolución de problemas. Esto elimina las barreras y reduce la experiencia necesaria para resolver problemas, lo que hace que los recorridos de resolución de problemas y exploración de datos sean más accesibles y aumenta la eficiencia operativa”.
Splunk también presentó el Asistente de IA en Seguridad. "Diseñado para acelerar las investigaciones de los analistas de seguridad y los flujos de trabajo diarios aprovechando las capacidades de IA generativa, este asistente agiliza el proceso de investigación con la orientación de los analistas y resume los datos de los incidentes. Ofrecer orientación sobre el flujo de trabajo de seguridad asistido por IA y generar un lenguaje de procesamiento de búsqueda (SPL) de Splunk específico para la seguridad acelera las investigaciones y los tiempos de respuesta, lo que permite a los analistas fortalecer las defensas contra las amenazas en evolución con procesos simplificados y una mayor eficiencia”, anotó el ejecutivo.
Por su parte, Yang indicó que Splunk AI Assistant for SPL ayuda a los clientes a interactuar con la plataforma de análisis de datos de Splunk utilizando lenguaje natural, cerrando la brecha entre la intuición humana y el análisis impulsado por máquinas.
Splunk también presenta dos nuevas características como parte de ITSI: detección de desviaciones para KPI y umbrales adaptativos a nivel de entidad. "La detección de desviaciones para KPI ayuda a los usuarios a detectar problemas potenciales de forma temprana al mostrar KPI que muestran cambios graduales o desviaciones repentinas de los patrones normales. Además, los umbrales adaptativos a nivel de entidad de Splunk permiten a los usuarios crear líneas de base dinámicas a nivel de entidad y generar alertas si se comportan de manera anormal. Ambas características están en versión preliminar pública”, indicó Yang.
El Asistente de IA de Observability Cloud ahora está en versión preliminar privada. El Asistente de IA en Seguridad estará disponible en versión preliminar privada en agosto del 2024. Splunk AI Assistant for SPL ya está disponible de forma general para los clientes de Splunk Cloud Platform con AWS en todo el mundo. IT Service Intelligence (ITSI) y su característica Asistente de configuración están disponibles con carácter general, con detección de desviaciones para KPI y umbrales adaptables a nivel de entidad en versión preliminar pública.
Franca Cavassa, CTOPerú