Splunk Enterprise Security
Qu'est-ce que Splunk Enterprise Security ?
Splunk Enterprise SecuritySolution SIEM commerciale de Splunk Inc. (rachete par Cisco en 2024) qui ingere, indexe et correle des donnees machine via Splunk Processing Language (SPL) pour la supervision et l'investigation de securite.
Splunk Enterprise Security (ES) est l'application SIEM phare construite sur la plateforme Splunk, developpee a l'origine par Splunk Inc. et rachetee par Cisco en mars 2024. Elle indexe toute donnee machine horodatee — pare-feu, EDR, evenements Windows, syslog, audit cloud — et l'expose via Splunk Processing Language (SPL) pour recherches, tableaux de bord et regles de correlation. ES embarque le Common Information Model (CIM), le risk-based alerting (RBA), l'integration au navigator ATT&CK, des frameworks d'actifs et d'identites et des flux de triage des notable events. Le produit est deploye on-premises, dans Splunk Cloud, et de plus en plus comme plateforme unifiee avec Cisco XDR. Splunk SOAR (ex-Phantom) apporte l'automatisation par playbooks.
● Exemples
- 01
Ecrire une recherche de correlation SPL pour alerter sur du mouvement lateral via Windows 4624 type 3 depuis un hote tier-0.
- 02
Utiliser le risk-based alerting pour faire remonter un utilisateur dont le score MITRE cumule depasse 100 en 24 heures.
● Questions fréquentes
Qu'est-ce que Splunk Enterprise Security ?
Solution SIEM commerciale de Splunk Inc. (rachete par Cisco en 2024) qui ingere, indexe et correle des donnees machine via Splunk Processing Language (SPL) pour la supervision et l'investigation de securite. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Splunk Enterprise Security ?
Solution SIEM commerciale de Splunk Inc. (rachete par Cisco en 2024) qui ingere, indexe et correle des donnees machine via Splunk Processing Language (SPL) pour la supervision et l'investigation de securite.
Comment fonctionne Splunk Enterprise Security ?
Splunk Enterprise Security (ES) est l'application SIEM phare construite sur la plateforme Splunk, developpee a l'origine par Splunk Inc. et rachetee par Cisco en mars 2024. Elle indexe toute donnee machine horodatee — pare-feu, EDR, evenements Windows, syslog, audit cloud — et l'expose via Splunk Processing Language (SPL) pour recherches, tableaux de bord et regles de correlation. ES embarque le Common Information Model (CIM), le risk-based alerting (RBA), l'integration au navigator ATT&CK, des frameworks d'actifs et d'identites et des flux de triage des notable events. Le produit est deploye on-premises, dans Splunk Cloud, et de plus en plus comme plateforme unifiee avec Cisco XDR. Splunk SOAR (ex-Phantom) apporte l'automatisation par playbooks.
Comment se défendre contre Splunk Enterprise Security ?
Les défenses contre Splunk Enterprise Security combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Splunk Enterprise Security ?
Noms alternatifs courants : Splunk ES, Splunk SIEM.
● Termes liés
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- defense-ops№ 1062
SOAR
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 372
Elastic Stack (ELK)
Plateforme open source d'Elastic N.V. combinant Elasticsearch, Logstash, Kibana et Beats pour ingerer, indexer, rechercher et visualiser des logs de securite et d'operations a grande echelle.
- defense-ops№ 680
Microsoft Sentinel
Service SIEM et SOAR cloud-native de Microsoft sur Azure, interrogeant les logs en Kusto Query Language (KQL) et integre nativement a Microsoft 365 Defender et aux sources de donnees Azure.
- defense-ops№ 448
Google Chronicle SecOps
SIEM et SOAR cloud-native de Google Cloud (ex-Backstory) qui stocke des telemetries a l'echelle du petaoctet a un tarif forfaitaire par employe et les interroge avec le langage de detection YARA-L.