.png)
Illumio s'intègre à Splunk pour améliorer le temps de réponse des opérations de sécurité
La technologie de microsegmentation adaptative d'Illumio devient rapidement un élément fondamental de la pile de sécurité et un outil essentiel pour protéger les applications fonctionnant dans les centres de données et les environnements en nuage. Au fur et à mesure que les clients déploient l'Adaptive Security Platform (ASP) d'Illumio pour protéger davantage de parties de leurs environnements applicatifs, nous les voyons également étendre Illumio à davantage d'équipes au sein de leur organisation - comme les équipes du Security Operations Center (SOC) qui s'appuient sur des outils tels que la gestion des informations et des événements de sécurité (SIEM) pour surveiller les environnements à la recherche d'alertes et d'anomalies.
L'intégration d'Illumio avec Splunk permet aux équipes SOC d'identifier rapidement les charges de travail potentiellement compromises et aux administrateurs d'Illumio de surveiller la santé de la solution Illumio.
Nous nous intégrons à Splunk de la manière suivante :
Serveur Illumio et Splunk
L'ASP d'Illumio transmet les événements d'audit, les événements de politique et la santé de la solution Illumio directement à Splunk Enterprise Server, où les données peuvent être intégrées aux outils d'opérations de sécurité existants tels que Splunk Enterprise Security, l'application Illumio pour Splunk et les flux de travail de l'équipe SOC.
Complément technologique (TA) d'Illumio pour Splunk
Le complément technologique Illumio pour Splunk enrichit les données du moteur de calcul des politiques (PCE) d'Illumio avec des noms de champs, des types d'événements et des étiquettes du modèle d'information commun (CIM). L'AT permet d'utiliser facilement les données d'Illumio avec Splunk Enterprise Security, l'application Illumio pour Splunk et d'autres applications de l'écosystème Splunk.
L'AT Illumio est disponible en téléchargement gratuit à partir de Splunkbase ici.
Sécurité d'entreprise Illumio et Splunk
Splunk Enterprise Security (ES) est une solution haut de gamme qui permet aux clients de détecter et de répondre rapidement aux attaques internes et externes. L'intégration d'Illumio avec Splunk ES permet de simplifier la gestion des menaces et de minimiser les risques. Splunk ES rationalise tous les aspects des opérations de sécurité et convient aux organisations de toutes tailles et de toutes compétences. Le module complémentaire technologique pour Illumio marquera les données entrantes d'Illumio avec des balises CIM afin que les données d'Illumio puissent être utilisées efficacement dans Splunk ES.
L'application Illumio pour Splunk
L'application Illumio pour Splunk est un ensemble de tableaux de bord préconstruits qui améliorent l'intégration d'Illumio avec Splunk en fournissant des informations sur la sécurité et les opérations dans les environnements sécurisés d'Illumio. L'application Illumio pour Splunk est livrée avec les tableaux de bord suivants :
- Tableau de bord des opérations de sécurité - permet au personnel du SOC de repérer rapidement les attaques potentielles et d'identifier les charges de travail compromises.
- "Tableau de bord des opérations PCE - offre aux administrateurs d'Illumio une fenêtre unique" pour surveiller la santé de tous les PCE déployés et gérés.
- Tableau de bord des opérations des charges de travail - offre aux administrateurs d'Illumio une visibilité sur les VEN, y compris des détails sur les charges de travail qui ont été mises hors ligne ou suspendues et qui pourraient nécessiter une intervention manuelle.
L'application Illumio pour Splunk est disponible en téléchargement gratuit à partir de Splunkbase ici.
Initiative de réponse adaptative
Illumio fournit une action de réponse adaptative à utiliser dans Splunk ES, qui permet de mettre en quarantaine les charges de travail susceptibles de faire l'objet d'une violation. Cela permet aux équipes SOC de prendre des mesures sur les charges de travail présentant une activité potentiellement risquée en tirant parti de Splunk AR, de l'API REST d'Illumio et de la politique d'Illumio pour isoler les charges de travail compromises des autres charges de travail de production tout en permettant l'accès aux équipes d'analyse judiciaire. En faisant appel à l'API REST d'Illumio, les politiques de microsegmentation sont appliquées instantanément et contiennent l'impact de la charge de travail compromise en quelques secondes.
La capacité de réponse adaptative est disponible dans le cadre de la solution Splunk Enterprise Security.
L'intégration d'Illumio aux plateformes SIEM comme Splunk donne aux équipes SOC un aperçu unique et critique de l'activité des centres de données pour compléter leurs autres alertes et flux avec la capacité d'identifier rapidement les communications non autorisées qui pourraient être un indicateur d'une violation.
