.png)
Illumio s'intègre à Splunk pour améliorer le temps de réponse des opérations de sécurité
La technologie de microsegmentation adaptative Illumio est en train de devenir rapidement un élément fondamental de la pile de sécurité et un outil essentiel pour protéger les applications exécutées dans les centres de données et les environnements cloud. Alors que les clients déploient la plateforme de sécurité adaptative (ASP) Illumio pour protéger de plus en plus de parties de leurs environnements applicatifs, nous voyons également qu'ils étendent Illumio à un plus grand nombre d'équipes de leur organisation, comme les équipes du Security Operations Center (SOC) qui s'appuient sur des outils tels que la gestion des informations et des événements de sécurité (SIEM) pour surveiller les environnements à la recherche d'alertes et d'anomalies.
L'intégration d'Illumio avec Splunk permet aux équipes du SOC d'identifier rapidement les charges de travail potentiellement compromises et permet aux administrateurs d'Illumio de surveiller l'état de santé de la solution Illumio.
Nous nous intégrons à Splunk de la manière suivante :
Serveur Illumio et Splunk
Illumio ASP transmet les événements d'audit, les événements de politique et l'état de santé de la solution Illumio directement à Splunk Enterprise Server, où les données peuvent être intégrées aux opérations de sécurité des outils tels que Splunk Enterprise Security, l'application Illumio pour Splunk et les flux de travail des équipes SOC.
Module complémentaire technologique Illumio (TA) pour Splunk
L'extension technologique Illumio pour Splunk enrichit Illumio Moteur de calcul des politiques (PCE) données avec des noms de champs, des types d'événements et des balises du Common Information Model (CIM). Le TA permet d'utiliser facilement les données Illumio avec Splunk Enterprise Security, l'application Illumio pour Splunk et d'autres applications de l'écosystème Splunk.
L'Illumio TA est disponible en téléchargement gratuit sur Splunkbase. ici.
Sécurité d'entreprise Illumio et Splunk
Splunk Enterprise Security (ES) est une solution haut de gamme qui permet aux clients de détecter et de répondre rapidement aux attaques internes et externes. L'intégration d'Illumio à Splunk ES permet de simplifier la gestion des menaces et de minimiser les risques. Splunk ES rationalise tous les aspects des opérations de sécurité et convient aux organisations de toutes tailles et de toutes expertises. Le module complémentaire technologique pour Illumio marquera les données Illumio entrantes avec des balises CIM afin que les données Illumio puissent être utilisées efficacement dans Splunk ES.
L'application Illumio pour Splunk
L'application Illumio pour Splunk est un ensemble de tableaux de bord prédéfinis qui améliorent l'intégration d'Illumio à Splunk en fournissant des informations opérationnelles et de sécurité sur les environnements sécurisés par Illumio. L'application Illumio pour Splunk est fournie avec les tableaux de bord suivants :
- Tableau de bord des opérations de sécurité — fournit au personnel du SOC des informations pour identifier rapidement les attaques potentielles et identifier les charges de travail compromises.
- Tableau de bord des opérations PCE — offre aux administrateurs Illumio un « écran unique » pour surveiller l'état de santé de tous les PC déployés et gérés.
- Tableau de bord des opérations de charge — fournit aux administrateurs Illumio une visibilité sur VENs, y compris des informations sur les charges de travail qui ont été mises hors ligne ou suspendues et qui pourraient nécessiter une intervention manuelle.
L'application Illumio pour Splunk est disponible en téléchargement gratuit sur Splunkbase ici.
Initiative de réponse adaptative
Illumio fournit une action de réponse adaptative à utiliser dans Splunk ES, qui permet de mettre en quarantaine les charges de travail potentiellement violées. Cela permet aux équipes du SOC de prendre des mesures sur les charges de travail présentant une activité potentiellement risquée en tirant parti de Splunk AR, de l'API REST Illumio et de la politique Illumio pour isoler les charges de travail compromises des autres charges de travail de production tout en permettant l'accès aux équipes d'investigation. En faisant appel à l'API REST Illumio, les politiques de microsegmentation sont appliquées instantanément et limitent l'impact de la charge de travail compromise en quelques secondes.
La fonctionnalité Adaptive Response est disponible dans le cadre de la solution Splunk Enterprise Security. En savoir plus sur le Initiative Splunk Adaptive Response.
L'intégration d'Illumio à des plateformes SIEM telles que Splunk donne aux équipes SOC un aperçu unique et essentiel de l'activité des centres de données afin d'augmenter leurs autres alertes et flux avec la possibilité d'identifier rapidement les communications non autorisées susceptibles d'indiquer une violation.
