Splunk, Líder en CM de Gartner, para la Información de Seguridad y Gestión de Eventos

Los líderes de seguridad y gestión de riesgos buscan cada vez más información de seguridad y soluciones de gestión de eventos con capacidades que admitan la detección, investigación y respuesta de ataques tempranos. Los usuarios deben equilibrar las capacidades avanzadas de SIEM con los recursos necesarios para ejecutar y ajustar la solución.

Splunk

Splunk tiene su sede en San Francisco, California. El conjunto de operaciones de seguridad de la compañía incluye productos principales, Splunk Enterprise o Splunk Cloud. Hay tres soluciones específicas de seguridad: Splunk Enterprise Security (ES), que Gartner considera obligatorio para SIEM; Splunk UBA; y Splunk Phantom. Los tres se venden como productos premium independientes. Splunk Enterprise y Splunk Cloud proporcionan recopilación de eventos y datos, búsqueda y visualizaciones para diversos usos en operaciones de TI y algunos casos de uso de seguridad. ES ofrece la mayor parte del contenido de seguridad y las capacidades de monitoreo de eventos, incluidas consultas específicas de seguridad, visualizaciones y paneles, y algunas capacidades de administración de casos, flujo de trabajo y respuesta a incidentes. UBA agrega análisis avanzados sin supervisión basados ​​en ML. Phantom proporciona capacidades SOAR y está diseñado para proporcionar soluciones automatizadas y mitigación de incidentes de seguridad. Las aplicaciones adicionales para casos de uso de seguridad están disponibles a través de Splunkbase, como la aplicación Splunk para cumplimiento de PCI.

Existen múltiples opciones de implementación: software local, en IaaS y como modelo híbrido. Splunk aloja y opera Splunk Cloud, que es una solución SaaS que utiliza la infraestructura de AWS. Los componentes Splunk Enterprise y Splunk Cloud consisten en Universal Forwarders, Indexers y Search Heads que admiten arquitecturas de n niveles.

Las licencias de Splunk Enterprise y Cloud se basan en la cantidad de datos ingeridos en la plataforma (o gigabytes por día). La única diferencia es que Splunk Cloud incluye precios basados ​​en la cantidad de datos retenidos como almacenamiento en el entorno AWS de Splunk. Hay precios más bajos disponibles para los datos que provienen de fuentes de registro de alto volumen y bajo valor, como el Sistema de nombres de dominio (DNS) y NetFlow. ES también tiene licencia de consumo y tiene un precio como un porcentaje de Splunk Enterprise. UBA tiene licencia por la cantidad de cuentas de usuario en una organización. Sin embargo, si los clientes prefieren coordinar las licencias de UBA con sus otras licencias de Splunk, pueden optar por comprar una licencia basada en el consumo para UBA, con precios como un porcentaje específico de ES. Todos los productos de la suite de operaciones de seguridad de Splunk ahora solo están disponibles como licencias temporales, con varias opciones para precios y mejoras reales en toda la empresa. Phantom tiene dos modelos de licencia diferentes. Uno tiene un precio por el número de eventos en los que los usuarios toman medidas, y el otro tiene un precio por el número de titulares de licencias o usuarios de la herramienta con licencia.

Las mejoras más importantes de Splunk durante los últimos 12 meses incluyen un monitoreo mejorado en tiempo real a través de la secuencia de eventos ES, la capacidad de implementar la automatización de seguridad con inteligencia de amenazas, contenido vertical específico para la atención médica para abordar el robo de recetas y las violaciones de la privacidad del paciente. A finales de octubre de 2019, Splunk lanzó una solución basada en la nube llamada Mission Control, para integrar más estrechamente los productos Enterprise Security, Phantom y UBA. Mission Control no fue GA, y por lo tanto no fue evaluado, durante la fase de investigación del Cuadrante Mágico.

Las organizaciones que buscan una solución SIEM que pueda crecer desde casos de uso básicos a casos de uso más avanzados a través de capacidades adicionales deberían considerar Splunk. Los compradores que desean que un solo proveedor respalde los requisitos de datos y análisis más allá de la seguridad y en todas sus organizaciones también deben considerar Splunk.

Fortalezas

  • Implementación: Múltiples opciones de entrega para Splunk Enterprise y Enterprise Security incluyen software (que puede implementarse localmente, en IaaS o en modo híbrido); alojado en la nube; y a través de electrodomésticos (apalancamiento de terceros).
  • Estrategia del producto: el enfoque de Splunk para proporcionar una recopilación y análisis de datos centralizados, con soluciones premium además del producto central, atrae a las organizaciones que desean una solución que pueda soportar múltiples equipos (por ejemplo, operaciones de TI, operaciones de seguridad, datos y análisis). Los compradores pueden comenzar con un caso de uso o equipo y luego expandirse a otros con fricción limitada.
  • Comprensión del mercado: Splunk ha fomentado un denso ecosistema de socios y alianzas tecnológicas capaces de extender el valor nativo de Splunk a través de aplicaciones que son específicas de cada caso de uso o proveedor. Splunkbase es un buen ejemplo de cómo los mercados de aplicaciones se pueden usar para entregar contenido e integraciones de productos en una sola UX.
  • Experiencia del cliente: los clientes de Splunk otorgan altas calificaciones por la facilidad de integración, calidad y disponibilidad para la capacitación del usuario final y la calidad de la comunidad de pares, en comparación con su competencia.
  • Ejecución de marketing: el enfoque de marketing de Splunk y las oportunidades de venta entre organizaciones lo han hecho muy visible con los clientes de Gartner, desde empresas medianas hasta grandes, globales y multinacionales.

Precauciones

  • Experiencia del cliente: los puntajes generales de referencia del cliente para evaluación y negociación de contratos, servicio y soporte, fijación de precios y flexibilidad de contratos, y la relación calidad-precio gastada están por debajo de la mayoría de sus competidores. Esto refleja las preocupaciones actuales planteadas por los clientes de Gartner sobre el costo de Splunk. Splunk ha introducido varias nuevas opciones de precios, pero es demasiado pronto para evaluar si esos cambios mejorarán la percepción rezagada de Splunk sobre precios, licencias y costos.
  • Estrategia del producto: la falta de sensores de punto final y de red de Splunk requerirá que los compradores encuentren soluciones complementarias de terceros para cumplir con los requisitos de un SOC moderno (por ejemplo, SIEM + UEBA + SOAR + EDR + NTA). Las integraciones con los principales proveedores son compatibles con las aplicaciones de Splunkbase.
  • Estrategia del producto: Aunque Splunk ha alineado el modelo de precios de UBA con el de Splunk Enterprise y Splunk Enterprise Security, Splunk UBA está en una pila de tecnología separada. Todavía no está integrado en el núcleo de Splunk, y sigue siendo un modelo local o alojado, lo que puede afectar a los compradores de Splunk Cloud.
  • Operaciones: el contenido de Splunk está disponible en varias plataformas, debe tener una licencia por separado para acceder a ese contenido y requiere múltiples mecanismos para organizar y actualizar el contenido, por ejemplo, en aplicaciones y soluciones premium (como ES, UBA y Phantom).

 

Fuente: Informe de Garnter, Feb 2020