Los líderes de seguridad y gestión de riesgos buscan cada vez más información de seguridad y soluciones de gestión de eventos con capacidades que admitan la detección, investigación y respuesta de ataques tempranos. Los usuarios deben equilibrar las capacidades avanzadas de SIEM con los recursos necesarios para ejecutar y ajustar la solución.
Splunk
Splunk tiene su sede en San Francisco, California. El conjunto de operaciones de seguridad de la compañía incluye productos principales, Splunk Enterprise o Splunk Cloud. Hay tres soluciones específicas de seguridad: Splunk Enterprise Security (ES), que Gartner considera obligatorio para SIEM; Splunk UBA; y Splunk Phantom. Los tres se venden como productos premium independientes. Splunk Enterprise y Splunk Cloud proporcionan recopilación de eventos y datos, búsqueda y visualizaciones para diversos usos en operaciones de TI y algunos casos de uso de seguridad. ES ofrece la mayor parte del contenido de seguridad y las capacidades de monitoreo de eventos, incluidas consultas específicas de seguridad, visualizaciones y paneles, y algunas capacidades de administración de casos, flujo de trabajo y respuesta a incidentes. UBA agrega análisis avanzados sin supervisión basados en ML. Phantom proporciona capacidades SOAR y está diseñado para proporcionar soluciones automatizadas y mitigación de incidentes de seguridad. Las aplicaciones adicionales para casos de uso de seguridad están disponibles a través de Splunkbase, como la aplicación Splunk para cumplimiento de PCI.
Existen múltiples opciones de implementación: software local, en IaaS y como modelo híbrido. Splunk aloja y opera Splunk Cloud, que es una solución SaaS que utiliza la infraestructura de AWS. Los componentes Splunk Enterprise y Splunk Cloud consisten en Universal Forwarders, Indexers y Search Heads que admiten arquitecturas de n niveles.
Las licencias de Splunk Enterprise y Cloud se basan en la cantidad de datos ingeridos en la plataforma (o gigabytes por día). La única diferencia es que Splunk Cloud incluye precios basados en la cantidad de datos retenidos como almacenamiento en el entorno AWS de Splunk. Hay precios más bajos disponibles para los datos que provienen de fuentes de registro de alto volumen y bajo valor, como el Sistema de nombres de dominio (DNS) y NetFlow. ES también tiene licencia de consumo y tiene un precio como un porcentaje de Splunk Enterprise. UBA tiene licencia por la cantidad de cuentas de usuario en una organización. Sin embargo, si los clientes prefieren coordinar las licencias de UBA con sus otras licencias de Splunk, pueden optar por comprar una licencia basada en el consumo para UBA, con precios como un porcentaje específico de ES. Todos los productos de la suite de operaciones de seguridad de Splunk ahora solo están disponibles como licencias temporales, con varias opciones para precios y mejoras reales en toda la empresa. Phantom tiene dos modelos de licencia diferentes. Uno tiene un precio por el número de eventos en los que los usuarios toman medidas, y el otro tiene un precio por el número de titulares de licencias o usuarios de la herramienta con licencia.
Las mejoras más importantes de Splunk durante los últimos 12 meses incluyen un monitoreo mejorado en tiempo real a través de la secuencia de eventos ES, la capacidad de implementar la automatización de seguridad con inteligencia de amenazas, contenido vertical específico para la atención médica para abordar el robo de recetas y las violaciones de la privacidad del paciente. A finales de octubre de 2019, Splunk lanzó una solución basada en la nube llamada Mission Control, para integrar más estrechamente los productos Enterprise Security, Phantom y UBA. Mission Control no fue GA, y por lo tanto no fue evaluado, durante la fase de investigación del Cuadrante Mágico.
Las organizaciones que buscan una solución SIEM que pueda crecer desde casos de uso básicos a casos de uso más avanzados a través de capacidades adicionales deberían considerar Splunk. Los compradores que desean que un solo proveedor respalde los requisitos de datos y análisis más allá de la seguridad y en todas sus organizaciones también deben considerar Splunk.
Fortalezas
Precauciones
Fuente: Informe de Garnter, Feb 2020