Tijdens .conf25 presenteert Splunk een reeks vernieuwingen aan het eigen aanbod. Eigenaar Cisco integreert met het bestaande aanbod, terwijl AI-agents en automation moeten leiden tot een gladgestreken securityervaring.
Splunk Enterprise Security (ES) bestond al, maar krijgt een significante upgrade. Twee flexibele opties lanceren vandaag: Splunk Enterprise Security Essentials en Splunk Enterprise Security Premier. Eerstgenoemde is logischerwijs compacter en geldt als springplank voor de Premier-editie, dat alomvattend is. We bespreken ze daarom in die volgorde.
Splunk Enterprise Security Essentials: oud wordt nieuw
Splunk Enterprise Security 8.2, de nieuwste release, is het eerste puzzelstukje van het Essentials-pakket. De tevens bekende Splunk AI Assistant binnen Security behoort tot deze oplossing, terwijl Detection Studio het completeert. Die feature draait om alle fasen van detecties, van de testperiode tot het voortdurend monitoren ervan. Kortom: Essentials strijkt wat zaken plat die anders losse opties zijn. Echter is het de bedoeling om deze integratie te zien als een platform voor agents. AI-agents “orkestreren en automatiseren complexe workflows” binnen ES, inclusief agents voor triage, het terugdraaien van malware-infecties en het creëren van SOAR-playbooks.
Tevens dienen agents zich te houden aan de best practices en SOP’s (standard operating procedures) van een SOC. Multimodale AI-modellen helpen om ES te voorzien van deze SOP’s en worden daarmee basiskennis van de agents. Binnen het Essentials-pakket maakt Splunk ES eveneens geschikt voor het uitbreiden van detectie-libraries en het personaliseren van detecties in Splunk Processing Language (SPL). Als Cisco-haakje is er zelfs een agentic mogelijkheid voor het automatisch opzetten van een ‘war room’ via Webex als een bepaald incident triggert.
Wie kiest voor het grotere Splunk Enterprise Security Premier, krijgt bovenop de Essentials-componenten toegang tot Splunk SOAR en UEBA (User and Entity Behavior Analytics). Andermaal geldt dat Splunk voornemens is een verenigde gebruikerservaring te bieden.
Cisco’s SOC-ideeën
Als onderdeel van Cisco is het logisch dat de .conf25-aankondigingen dit jaar een diepe integratie tussen Splunk en haar eigenaar inluiden. We bespraken bij de Platform-onthullingen van gisteren dat het laaghangende fruit inmiddels geplukt is, met vanaf nu meer betekenisvolle gelijkschakeling tussen Cisco- en Splunk-producten. De nieuwe mogelijkheden kennen als context de ideeën die Cisco erop nahoudt over het SOC van de toekomst. Hierbij dienen securityanalisten binnen een ‘agentic SOC’ hun tijd te spenderen aan strategische keuzes terwijl het aan AI is om dagelijkse routinetaken af te strepen. Met dat in het achterhoofd zijn de securityaankondigingen van Splunk bedoeld om die filosofie uit te dragen.
Isovalent Runtime Security levert bijvoorbeeld “directe, granulaire zichtbaarheid over al je workloads”, waarbij eventuele lekken en onregelmatigheden direct worden aangestipt. Daarnaast knoopt Cisco Security Analytics and Logging (SAL) zich vast aan Splunk Cloud’s Federated Search for Amazon S3. Firewall-logs vanuit SAL hebben voortaan geen ingestion nodig om raad te plegen zijn vanuit het Splunk Cloud Platform.
Conclusie: het datagedreven SOC
De optelsom van het securityaanbod van Splunk enerzijds en Cisco anderzijds is reusachtig. Het zal dan ook even duren voordat de twee partijen echt één zijn, als dat überhaupt de bedoeling is. Voor nu draait de integratie om het uitdragen van dezelfde waarden, met zo min mogelijk frictie als hoofddoel. Daarom moeten zaken als Cisco’s firewall aanvoelen als native onderdelen binnen Splunk en moet het verschepen van data over en weer voorkomen worden. Agents gelden hierbij als de manusjes-van-alles die het gebruiksgemak versimpelen en uiteindelijk het SOC van de toekomst geïnformeerd, maar vrij van routinematige sleur maken.