Ciencia en tus manos

Ofensiva multinube integral para Splunk

No hay comentarios Share:
A l

En su evento anual, Splunk dio a conocer varias actualizaciones de productos. Sus herramientas de análisis y observabilidad de datos, así como las soluciones de seguridad, se han actualizado para hacer frente a los desafíos de la multinube.

Este año, nuevamente, la Conferencia Mundial de Splunk se llevó a cabo en forma virtual por razones de salud. Un evento repleto de anuncios para el especialista en análisis de datos de máquinas que durante varios años ha enriquecido sus ofertas hacia la observabilidad y la seguridad. “Hoy en día, existe una fuerte demanda de tiempo real y la integridad de los datos”, dice Stéphane Estevez, director de productos de EMEA en Splunk. Por lo tanto, el objetivo es ayudar a los clientes a administrar mejor sus volúmenes de datos, particularmente en un enfoque multicloud, que aporta complejidad.

Sobre este último punto, el editor lanza Data Manager para Splunk Enterprise y su versión Cloud. Este servicio facilita el acceso a los datos almacenados en las nubes desde un solo lugar, sin importar dónde se encuentren. Disponible en modo beta, es compatible con AWS y Microsoft 365, y pronto con Google Cloud Platform y Azure de Microsoft. Además, la función Ingest Actions (también disponible en vista previa), se encarga de depurar y filtrar los datos antes de decidir enviarlos a la plataforma Splunk o un almacenamiento externo del tipo AWS S3.

El servicio Data Manager proporciona visibilidad de los datos almacenados en las diferentes nubes. (Crédito de la foto: Splunk)

Telemetría más granular, para una mejor capacidad de respuesta

En la parte del almacenamiento en la nube, el editor ha extendido el servicio SmartStore a Azure (ya disponible en AWS y Google Cloud). Esta solución (presentada en 2018) permite a los clientes actualizar su almacenamiento (primario, secundario, etc.) mientras controlan los costos. Para el aspecto de indexación, Flex Index apunta a datos que se usan muy poco pero que son importantes para una investigación en profundidad (forense) o por razones de cumplimiento. Una vez más, Splunk busca simplificar la investigación de datos ofreciendo la oferta de Federate Research capaz de unificar la investigación en la plataforma Splunk. “Recopilar datos de las nubes y analizarlos es esencial para AIOps. Cuantos más datos tengan, más podrán mejorar la detección de averías y anomalías ”, explica Stéphane Estevez.

Splunk también continúa fortaleciendo su posición en el mercado de observabilidad. El pasado mes de mayo presentó su nube de observabilidad, una plataforma capaz de recopilar todos los datos y abarcar los tres pilares del campo: métricas para detectar problemas, trazas para determinar dónde está el problema y logs. para comprender en detalle por qué sucedió esto. En la conferencia, Splunk presentó los desarrollos de su oferta de APM con un enfoque en la automatización. “Por ejemplo, hemos agregado la detección automática en Monitoreo de Infraestructura que automatiza el análisis de anomalías en las infraestructuras. No hay necesidad de configuración y las alertas se integran directamente en los cuadros de mando ”, explica François Estevez.

También hace hincapié en AlwaysOn Profiling (también en versión beta), que “aporta más granularidad en el análisis de problemas en una transacción a nivel de código”. Asimismo, Log Observer permite «el consumo gráfico de logs para DevOps», asegura el gerente. Y para citar también la visibilidad de la base de datos que «escanea qué consulta es la más lenta de acuerdo con un historial en las bases de datos». Finalmente, la parte de la movilidad es abordada por la función RUM (Real User Monitoring) para aplicaciones móviles (resultante de la adquisición de Plumbr), que se basa en Open Telemetry (Splunk había adquirido Omnition, el principal contribuyente a este proyecto de telemetría abierta. ). El servicio proporciona supervisión del rendimiento para aplicaciones móviles.

Always On Profiling proporciona un análisis más granular de las transacciones hasta el nivel del código. (Crédito de la foto: Splunk)

Seguridad: enfoque en multinube y refuerzo en Intel Threat

En los últimos años, Splunk ha tomado el turno de la seguridad y la conferencia anual fue una oportunidad para fortalecer su portafolio en esta área con un enfoque en los entornos de nube. Según la editorial, la crisis sanitaria ha acentuado la superficie de ataque (con el teletrabajo y el uso de la nube) y ha destacado los puntos ciegos (configuración, tiempo de detección, aumento de alertas, falsos positivos, etc.). Para remediar esto, Splunk actualizó su plataforma Enterprise Security mejorando los cuadros de mando para tener información más relevante. El servicio de alertas basadas en riesgos responde a la fatiga de los analistas de seguridad ante el crecimiento de las alertas optimizando la detección de amenazas.

El servicio de alertas basadas en riesgos tiene como objetivo reducir la afluencia de alertas a los analistas de seguridad. (Crédito de la foto: Splunk)

En el panel SOAR (Security Orchestration, Automation and Response), Splunk allana el camino para la personalización al iniciar un editor de aplicaciones SOAR. Esto permite a los usuarios probar, construir y modificar aplicaciones de orquestación de seguridad. Cabe destacar que la plataforma SOAR amplía la rama Threat Intel con la adquisición de Trustar el pasado mes de mayo. La tecnología de plataforma inteligente ahora está completamente integrada, convirtiéndose en un servicio completo. Su objetivo es centralizar los datos de amenazas para que se integren en los flujos de trabajo de las herramientas SIEM (gestión de información de eventos de seguridad) y SOAR (orquestación, automatización y respuesta de seguridad).

La plataforma inteligente de Trustar, adquirida en mayo pasado, se ha integrado en la plataforma SOAR de Splunk. (Crédito de la foto: Splunk)

Finalmente, la editorial anuncia la creación de un equipo de expertos en ciberseguridad, llamado Surge. Su vocación es ayudar a los clientes víctimas de un ciberataque. Pero también producirá documentación sobre ciertos temas de ciberseguridad. «Por ejemplo, ella miró la protección SSL», desliza François Estevez. Una iniciativa que recuerda a la reciente iniciativa de Google Cloud con su Cybersecurity Action Team.

También te puede gustar