Certains sont utilisés à des fins statistiques et d'autres sont mis en place pour améliorer la navigation sur le site. En cliquant sur "Tout accepter", vous acceptez l'utilisation de tous les cookies.En savoir plus
Découvrez Splunk en 4 épisodes à travers une présentation préparée par OBS en partenariat avec MAG IT fin 2016.
Introduction Splunk est né en 2007. À l'origine, le produit se présentait lui- même comme le « Google de l'IT » : un moteur de recherche capable d'agréger et d'indexer les logs de tous les équipements IT de l'entreprise et de faciliter leur exploration par des recherches à la Google. Aujourd'hui encore, Erik Swan, CTO et co-fondateur de Splunk continue de décrire son produit comme << le Google des données machines». Une simplification qui ne traduit pas vraiment la diversité des usages d'un outil qui s'affirme désormais bien davantage comme une plateforme analytique spécialisée dans les données « machines » (celles générées par les ordinateurs, les appareils mobiles, les équipements réseau, les baies de stockage, les objets connectés dans toute leur diversité loT ainsi que les apps exécutées par ces équipements) plutôt qu'un simple moteur de recherche. Souvent perçu comme un outil de « Business Intelligence » pour l'IT, Splunk trouve ses usages bien au-delà de la DSI et du suivi de l'état du système d'information. Il apporte ses services aux équipes Sécurité, aux équipes Conformité. Mais aussi aux équipes métiers qui ont besoin d'analyser les données de leurs consommateurs à des fins marketing et de comprendre le comportement de leurs clients sur leurs services Web, les impacts économiques de défaillances techniques, les impacts des évolutions apportées à l'expérience utilisateur, etc. Comprendre la galaxie Splunk Derrière la plateforme analytique spécialisée dans les données « machines » Splunk se dissimulent plusieurs produits complémentaires - qui visent des besoins différents - et des solutions ciblées. En voici un tour d'horizon exhaustif. Splunk Enterprise est le produit phare et historique de l'entreprise. << On premises », facile à déployer, capable de monter en charge via des implémentations distribuées, Splunk Enterprise est au coeur de l'offre et s'affirme comme une véritable plateforme évolutive et programmable sur laquelle bâtir des solutions. Splunk Cloud est la version SaaS de Splunk. Disponible sur 10 régions AWS, elle offre à toutes les entreprises un accès aux fonctionnalités de Splunk Enterprise (y compris l'adjonction des Apps et Add-Ons) à travers le Cloud, donc sans avoir à se soucier de la mise en oeuvre d'une infrastructure pour l'héberger. Servi par un SLA garantissant une disponibilité à 100% et une montée en charge qui peut dépasser les 10 To de données ingérées par jour, Splunk Cloud peut aussi être utilisé en mode hybride avec des Search Heads en local et des lndexers dans le Cloud, des Search Heads dans le Cloud et des lndexers en local ou un mixte complet local/cloud des composantes pour servir tous les scénarios de confidentialité et d'accessibilité mobile envisagés. Sp/unk Light, petit dernier de la gamme, cherche à apporter une nouvelle option aux TPE/PME et à contrer la concurrence sur le marché des solutions d'analyses de données dédiées à I'IT. Splunk Light est une version du moteur de collecte, indexation, recherche et analyse conçue pour être déployée sur un serveur unique et être utilisée par 5 utilisateurs IT maximum. Elle est limitée à 20 Go de données capturées par jour, ce qui en fait aussi une version bien adaptée à la mise en oeuvre de projets tests. Cette version ne supporte ni les Apps, ni les solutions avancées de ses grandes soeurs, mais elle accepte les « add-ins » et intègre des fonctionnalités basiques de forensic et de vérification de sécurités ainsi que les outils habituels de reporting, de tableaux de bord et d'alertes de Splunk. Hunk est tout simplement une déclinaison de Splunk sur les infrastructures Big Data classiques. Hunk offre les fonctions de recherches, d'analyses, de reporting et de tableaux de bord de Splunk au-dessus d'Hadoop mais également au-dessus d'autres solutions NoSQL comme Mongodb. Solution autonome et indépendante, Hunk permet aussi une analyse des données déjà présentes dans un historique Hadoop sans avoir à les transférer/indexer vers Splunk. Hunk supporte le Splunk Web Framework pour créer des Apps et tableaux de bord afin d'analyser les données sans programmation de jobs MapReduce. Au-delà de ses plateformes analytiques, Splunk propose aussi des solutions bâties sur ces plateformes qui apportent des modules et tableaux de bord prédéfinis pour concrétiser instantanément certains scénarios typiques. Splunk Enterprise Security (Splunk ES)- première des solutions de haut niveau introduites par Splunk - transforme la plateforme en l'un des plus puissants SIEM du marché. De plus en plus adoptée comme base de SOC (Security Operations Center), la solution permet aux entreprises d'identifier les failles, d'évaluer des signaux faibles mis en évidence par différentes corrélations, de suivre l'évolution des cyber-attaques, etc. Splunk ES offre une vision de bout en bout sur toutes les données de sécurité : utilisateurs, réseaux, terminaux, accès, données en transit. Il comporte des KPI/KSI sur les risques, des tableaux de bord et Workflows pour comprendre les impacts et contextes d'évènements de sécurité et d'activités cyber-criminelles. Sp/unk Mint est né du rachat de BugSense. C'est un ensemble de technologies (SDKs et Splunk Apps) destinées à collecter, surveiller et analyser les données mobiles et plus particulièrement les données de fonctionnement (performance, crashs, usages, transactions, etc.) des apps mobiles. Une Splunk App assure l'ingestion des données et leur indexation dans l'architecture Splunk Enterprise ou Splunk Cloud. Splunk IT Service Intelligence (Splunk ITSI) est un outil IT récemment introduit de monitoring et d'analyse des systèmes d'information. Construit sur l'expertise historique de Splunk autour des données IT, il automatise nombre de tâches opérationnelles classiques de I'IT en offrant différents indicateurs de performance et de fiabilité en combinant détection de problèmes, maintenance prédictive, corrélations d'évènements IT et autres fonctions de diagnostic. Il permet une approche orientée« données » de la gestion d'une infrastructure (y compris hybride grâce à des ponts vers les principaux Clouds) qui offre à la fois des outils de surveillance de haut niveau et des outils de troubleshooting de bas niveau. Splunk User Behaviour Analytics (Splunk USA), fruit du rachat de Caspida en 2015, est une solution clé en main d'analyses comportementales pour repérer des cyber-attaques en cours et des menaces internes. S'appuyant sur les Data Sciences, le Machine Learning, et des corrélations avancées d'évènements, Splunk USA aide à repérer les comportements déviants, à détecter les APTs, à signaler les usages inhabituels de solutions SaaS, à découvrir les tentatives d'exfiltration de données, etc. Même si elles ont des origines différentes et peuvent s'utiliser indépendamment, les solutions Splunk ES et Splunk USA sont complémentaires et de plus en plus souvent combinées. Depuis la version 4.1, Splunk ES intègre une fonctionnalité d'ingestion des données d'anomalies de Splunk UBA avec préservation des contextes et des indicateurs de risques. A suivre Episode 2, Lundi 19/06 | Splunk, une plateforme plus qu'un logiciel Episode 3, Jeudi 22/06 | Splunk, les nouveaux usages Episode 4, Lundi 26/06 | Splunk, atouts & limites
Introduction
Splunk est né en 2007. À l'origine, le produit se présentait lui- même comme le « Google de l'IT » : un moteur de recherche capable d'agréger et d'indexer les logs de tous les équipements IT de l'entreprise et de faciliter leur exploration par des recherches à la Google. Aujourd'hui encore, Erik Swan, CTO et co-fondateur de Splunk continue de décrire son produit comme << le Google des données machines». Une simplification qui ne traduit pas vraiment la diversité des usages d'un outil qui s'affirme désormais bien davantage comme une plateforme analytique spécialisée dans les données « machines » (celles générées par les ordinateurs, les appareils mobiles, les équipements réseau, les baies de stockage, les objets connectés dans toute leur diversité
loT ainsi que les apps exécutées par ces équipements) plutôt qu'un simple moteur de recherche.
Souvent perçu comme un outil de « Business Intelligence » pour l'IT, Splunk trouve ses usages bien au-delà de la DSI et du suivi de l'état du système d'information. Il apporte ses services aux équipes Sécurité, aux équipes Conformité. Mais aussi aux équipes métiers qui ont besoin d'analyser les données de leurs consommateurs à des fins marketing et de comprendre le comportement de leurs clients sur leurs services Web, les impacts économiques de défaillances techniques, les impacts des évolutions apportées à l'expérience utilisateur, etc.
Comprendre la galaxie Splunk
Derrière la plateforme analytique spécialisée dans les données « machines » Splunk se dissimulent plusieurs produits complémentaires - qui visent des besoins différents - et des solutions ciblées.
En voici un tour d'horizon exhaustif.
Splunk Enterprise est le produit phare et historique de l'entreprise. << On premises », facile à déployer, capable de monter en charge via des implémentations distribuées, Splunk Enterprise est au coeur de l'offre et s'affirme comme une véritable plateforme évolutive et programmable sur laquelle bâtir des solutions.
Splunk Cloud est la version SaaS de Splunk. Disponible sur 10 régions AWS, elle offre à toutes les entreprises un accès aux fonctionnalités de Splunk Enterprise (y compris l'adjonction des Apps et Add-Ons) à travers le Cloud, donc sans avoir à se soucier de la mise en oeuvre d'une infrastructure pour l'héberger.
Servi par un SLA garantissant une disponibilité à 100% et une montée en charge qui peut dépasser les 10 To de données ingérées par jour, Splunk Cloud peut aussi être utilisé en mode hybride avec des Search Heads en local et des lndexers dans le Cloud, des Search Heads dans le Cloud et des lndexers en local ou un mixte complet local/cloud des composantes pour servir tous les scénarios de confidentialité et d'accessibilité mobile envisagés.
Sp/unk Light, petit dernier de la gamme, cherche à apporter une nouvelle option aux TPE/PME et à contrer la concurrence sur le marché des solutions d'analyses de données dédiées à I'IT. Splunk Light est une version du moteur de collecte, indexation, recherche et analyse conçue pour être déployée sur un serveur unique et être utilisée par 5 utilisateurs IT maximum. Elle est limitée à 20 Go de données capturées par jour, ce qui en fait aussi une version bien adaptée à la mise en oeuvre de projets tests.
Cette version ne supporte ni les Apps, ni les solutions avancées de ses grandes soeurs, mais elle accepte les « add-ins » et intègre des fonctionnalités basiques de forensic et de vérification de sécurités ainsi que les outils habituels de reporting, de tableaux de bord et d'alertes de Splunk.
Hunk est tout simplement une déclinaison de Splunk sur les infrastructures Big Data classiques. Hunk offre les fonctions de recherches, d'analyses, de reporting et de tableaux de bord de Splunk au-dessus d'Hadoop mais également au-dessus d'autres solutions NoSQL comme Mongodb. Solution autonome et indépendante, Hunk permet aussi une analyse des données déjà présentes dans un historique Hadoop sans avoir à les transférer/indexer vers Splunk. Hunk supporte le Splunk Web Framework pour créer des Apps et tableaux de bord afin d'analyser les données sans programmation de jobs MapReduce.
Au-delà de ses plateformes analytiques, Splunk propose aussi des solutions bâties sur ces plateformes qui apportent des modules et tableaux de bord prédéfinis pour concrétiser instantanément certains scénarios typiques.
Splunk Enterprise Security (Splunk ES)- première des solutions de haut niveau introduites par Splunk - transforme la plateforme en l'un des plus puissants SIEM du marché. De plus en plus adoptée comme base de SOC (Security Operations Center), la solution permet aux entreprises d'identifier les failles, d'évaluer des signaux faibles mis en évidence par différentes corrélations, de suivre l'évolution des cyber-attaques, etc.
Splunk ES offre une vision de bout en bout sur toutes les données de sécurité : utilisateurs, réseaux, terminaux, accès, données en transit. Il comporte des KPI/KSI sur les risques, des tableaux de bord et Workflows pour comprendre les impacts et contextes d'évènements de sécurité et d'activités cyber-criminelles.
Sp/unk Mint est né du rachat de BugSense. C'est un ensemble de technologies (SDKs et Splunk Apps) destinées à collecter, surveiller et analyser les données mobiles et plus particulièrement les données de fonctionnement (performance, crashs, usages, transactions, etc.) des apps mobiles. Une Splunk App assure l'ingestion des données et leur indexation dans l'architecture Splunk Enterprise ou Splunk Cloud.
Splunk IT Service Intelligence (Splunk ITSI) est un outil IT récemment introduit de monitoring et d'analyse des systèmes d'information.
Construit sur l'expertise historique de Splunk autour des données IT, il automatise nombre de tâches opérationnelles classiques de I'IT en offrant différents indicateurs de performance et de fiabilité en combinant détection de problèmes, maintenance prédictive, corrélations d'évènements IT et autres fonctions de diagnostic.
Il permet une approche orientée« données » de la gestion d'une infrastructure (y compris hybride grâce à des ponts vers les principaux Clouds) qui offre à la fois des outils de surveillance de haut niveau et des outils de troubleshooting de bas niveau.
Splunk User Behaviour Analytics (Splunk USA), fruit du rachat de Caspida en 2015, est une solution clé en main d'analyses comportementales pour repérer des cyber-attaques en cours et des menaces internes. S'appuyant sur les Data Sciences, le Machine Learning, et des corrélations avancées d'évènements, Splunk USA aide à repérer les comportements déviants, à détecter les APTs, à signaler les usages inhabituels de solutions SaaS, à découvrir les tentatives d'exfiltration de données, etc.
Même si elles ont des origines différentes et peuvent s'utiliser indépendamment, les solutions Splunk ES et Splunk USA sont complémentaires et de plus en plus souvent combinées. Depuis la version 4.1, Splunk ES intègre une fonctionnalité d'ingestion des données d'anomalies de Splunk UBA avec préservation des contextes et des indicateurs de risques.
A suivre
Episode 2, Lundi 19/06 | Splunk, une plateforme plus qu'un logiciel
Episode 3, Jeudi 22/06 | Splunk, les nouveaux usages
Episode 4, Lundi 26/06 | Splunk, atouts & limites
Sources : Article écrit par Loic Duval, journaliste publié dans le MAG IT
Publié le 19 Juin 2017
Partager
Imprimer
Facebook
Twitter
Linkedin
Mail