À l’occasion de sa conférence annuelle « Splunk .Conf », l’éditeur connu pour sa plateforme d’agrégation et de recherche de logs a annoncé de nombreuses nouveautés notamment autour de la sécurité et de l’observabilité.  

Née comme un système d’agrégation et d’exploration de logs, la plateforme Splunk n’a cessé de s’enrichir et de multiplier les services autour de l’exploitation des données IT à des fins de performance IT, de cybersécurité, de supervision multicloud, etc.

Des thèmes une nouvelle fois à l’ordre du jour alors que, comme souvent, l’éditeur avait attendu sa conférence Splunk (cette semaine) pour dévoiler les évolutions à venir d’une offre désormais foisonnante.

Parmi les nouveautés annoncées, on retiendra :

L’arrivée de Security Cloud immine… encore et toujours…

Depuis plusieurs années déjà, Splunk a fait de la cybersécurité l’un de ses piliers. En juin dernier, l’éditeur annonçait son Splunk Security Cloud destiné à combiner en une offre la plupart de ses modules de cybersécurité à commencer par son SIEM et son outil SOAR (Security Orchestration, Automation & Response) au sein d’une solution SOC.
Security Cloud n’est officiellement toujours pas disponible mais l’éditeur assure que la solution arrivera bientôt (coming soon). « Les clients auront accès à de nouvelles visualisations qui permettront aux directions de disposer d’indicateurs clés sur la santé globale de leur programme de cyber-résilience ».
Splunk a ainsi confirmé l’apparition de nouvelles fonctionnalités RBA (Risk Based Alerting) qui exploite du machine learning pour non seulement améliorer les capacités de détection mais surtout réduire le volume d’alertes par une meilleure analyse des risques et priorisation des alertes.

Splunk SOAR s’enrichit d’un nouvel éditeur d’App

Splunk SOAR (ex Splunk Phantom), la plateforme d’automatisation des réponses aux incidents de sécurité, s’enrichit, elle aussi. En Août, Splunk avait déjà présenté un nouvel éditeur beaucoup plus visuel pour créer les automatisations. Lancé lors de « .Conf’21 », SOAR App Editor est un nouvel outil permettant aux entreprises d’éditer, tester et créer des applications SOAR pour orchestrer leur sécurité. Des Apps qui viendront s’insérer dans la plateforme et éventuellement s’intégrer avec les 350 apps SOAR disponibles dans la marketplace Splunkbase.

TruSTAR devient Splunk Intelligent Management

En juin dernier, Splunk confirmait la finalisation de l’acquisition de TruSTAR et de sa plateforme de cyberintelligence orientée données. Cette plateforme centralise les données provenant de multiples sources open-source ou payantes pour mieux connaître, comprendre et détecter les menaces mais aussi intégrer ces informations aux outils de SIEM et de SOAR afin d’optimiser les délais de détection et de remédiation par des réponses automatisées adéquates.
La plateforme de TruSTAR devient officiellement « Splunk Intelligent Management » et sera bien évidemment intégrée à Security Cloud.

De l’observabilité en continu…

En mai, Splunk lançait Observability Cloud, une nouvelle offre regroupant dans une interface unifiée plusieurs services existants : Splunk Infrastructure Monitoring, Splunk APM (Application Performance Monitoring), Splunk RUM (Real user monitoring), Splunk Synthetic Monitoring, Splunk Log Observer et Splunk On-Call (routing d’alertes).
Splunk fait évoluer ses solutions pour offrir davantage de temps réel et d’automatisation à cette observabilité étendue allant de l’infrastructure aux applications. Infrastructure Monitoring s’enrichit ainsi avec Auto-Detect d’une fonctionnalité d’automatisation de l’analyse d’anomalies dans les infrastructures.
Autre nouveauté, Splunk AlwaysOn Profiling fournit aux IT et aux développeurs une visibilité et une analyse continues au niveau du code des applications afin qu’ils puissent trouver et corriger les goulets d’étranglement ou encore identifier des optimisations de ressources et donc réaliser des économies dans leur usage du cloud. Dans un même ordre d’idées, Splunk a dévoilé de nouvelles fonctionnalités pour Splunk APM permettant d’offrir davantage de visibilité dans ce qui se passe sur les bases de données et notamment d’automatiquement repérer et signaler les requêtes qui ralentissent les transactions sans avoir à faire appel aux différents outils d’analyse propres à chaque SGBD.

Des améliorations dans les fondations

Évidemment, Splunk continue de faire évoluer les bases de sa plateforme. Splunk Operator for Kubernetes est désormais en « General Availability ». Surtout, Splunk semble vouloir adopter plus largement le standard OpenTelemetry. Ce standard était déjà exploité par Splunk RUM for Mobile Applications (désormais en GA) mais fait aussi son entrée dans Splunk Entreprise par le biais d’une nouvelle intégration à Splunk Log Observer. Autre nouveauté, Federated Search simplifie les recherches s’étendant sur l’ensemble des différents déploiements de Splunk dans l’entreprise et les clouds.
Côté Splunk Cloud Platform, on retiendra surtout l’annonce en preview de « Data Manager », un gestionnaire destiné à agréger, gérer et transformer les données AVANT qu’elles ne soient ingérées et indexées par la plateforme. Affichant une approche multicloud, Data Manager supporte pour l’instant AWS et Microsoft 365, mais GCP et Azure seront ajoutés avant la « General Availability ».

Une baisse des coûts Splunk ?

Splunk a toujours eu un modèle de financement assez décrié puisque les utilisateurs sont facturés à la quantité de données uploadées sur la plateforme. Un principe qui le dessert en partie à l’heure du ML, les entreprises évitant d’envoyer toutes leurs données vers Splunk. Aussi, l’éditeur avait lancé en preview limitée auprès de quelques clients triés sur le volet une nouvelle formule : la tarification au Workload. Elle sera désormais accessible à tous. Et pour rendre l’offre plus attractive encore, Splunk lance une option « Flex Index » qui permet de réduire les coûts pour les clients Cloud ayant d’importants besoins d’ingestion, recherches et stockage sur des données typiquement peu utilisées mais stockées sur la durée, typiquement des données qui ne sont exploitées qu’en cas d’investigation sur un incident de sécurité ou dans le cadre d’audits de conformité.