Comprendre la galaxie Splunk
Derrière la plateforme analytique spécialisée dans les données « machines » Splunk se dissimulent plusieurs produits complémentaires - qui visent des besoins différent - et des solutions ciblées. En voici un tour d’horizon exhaustif.
Splunk Enterprise est le produit phare et historique de l’entreprise. « On premises », facile à déployer, capable de monter en charge via des implémentations distribuées, Splunk Enterprise est au cœur de l’offre et s’affirme comme une véritable plateforme évolutive et programmable sur laquelle bâtir des solutions.
Splunk Cloud est la version SaaS de Splunk. Disponible sur 10 régions AWS, elle offre à toutes les entreprises un accès aux fonctionnalités de Splunk Enterprise (y compris l’adjonction des Apps et Add-Ons) à travers le Cloud, donc sans avoir à se soucier de la mise en œuvre d’une infrastructure pour l’héberger.
Servi par un SLA garantissant une disponibilité à 100% et une montée en charge qui peut dépasser les 10 To de données ingérées par jour, Splunk Cloud peut aussi être utilisé en mode hybride avec des Search Heads en local et des Indexers dans le Cloud, des Search Heads dans le Cloud et des Indexers en local ou un mixte complet local/cloud des composantes pour servir tous les scénarios de confidentialité et d’accessibilité mobile envisagés.
Splunk Light, petit dernier de la gamme, cherche à apporter une nouvelle option aux TPE/PME et à contrer la concurrence sur le marché des solutions d’analyses de données dédiées à l’IT.
Splunk Light est une version du moteur de collecte, indexation, recherche et analyse conçue pour être déployée sur un serveur unique et être utilisée par 5 utilisateurs IT maximum. Elle est limitée à 20 Go de données capturées par jour, ce qui en fait aussi une version bien adaptée à la mise en œuvre de projets tests.
Cette version ne supporte ni les Apps, ni les solutions avancées de ses grandes sœurs, mais elle accepte les « add-ins » et intègre des fonctionnalités basiques de forensic et de vérification de sécurités ainsi que les outils habituels de reporting, de tableaux de bord et d’alertes de Splunk.
Hunk est tout simplement une déclinaison de Splunk sur les infrastructures Big Data classiques.
Hunk offre les fonctions de recherches, d’analyses, de reporting et de tableaux de bord de Splunk au-dessus d’Hadoop mais également au-dessus d’autres solutions NoSQL comme Mongodb.
Solution autonome et indépendante, Hunk permet aussi une analyse des données déjà présentes dans un historique Hadoop sans avoir à les transférer/indexer vers Splunk. Hunk supporte le Splunk Web Framework pour créer des Apps et tableaux de bord afin d’analyser les données sans programmation de jobs MapReduce.
Au-delà de ses plateformes analytiques, Splunk propose aussi des solutions bâties sur ces plateformes qui apportent des modules et tableaux de bord prédéfinis pour concrétiser instantanément certains scénarios typiques.
Splunk Enterprise Security (Splunk ES) - première des solutions de haut-niveau introduites par Splunk - transforme la plateforme en l’un des plus puissants SIEM du marché.
De plus en plus adoptée comme base de SOC (Security Operations Center), la solution permet aux entreprises d’identifier les failles, d’évaluer des signaux faibles mis en évidence par différentes corrélations, de suivre l’évolution des cyber-attaques, etc.
Splunk ES offre une vision de bout en bout sur toutes les données de sécurité : utilisateurs, réseaux, terminaux, accès, données en transit. Il comporte des KPI/KSI sur les risques, des tableaux de bord et Workflows pour comprendre les impacts et contextes d’évènements de sécurité et d’activités cyber-criminelles.
Splunk Mint est né du rachat de BugSense. C’est un ensemble de technologies (SDKs et Splunk Apps) destinées à collecter, surveiller et analyser les données mobiles et plus particulièrement les données de fonctionnement (performance, crashs, usages, transactions, etc.) des apps mobiles. Une Splunk App assure l’ingestion des données et leur indexation dans l’architecture Splunk Enterprise ou Splunk Cloud.
Splunk IT Service Intelligence (Splunk ITSI) est un outil IT récemment introduit de monitoring et d’analyse des systèmes d’information.
Construit sur l’expertise historique de Splunk autour des données IT, il automatise nombre de tâches opérationnelles classiques de l’IT en offrant différents indicateurs de performance et de fiabilité en combinant détection de problèmes, maintenance prédictive, corrélations d’évènements IT et autres fonctions de diagnostic.
Il permet une approche orientée « données » de la gestion d’une infrastructure (y compris hybride grâce à des ponts vers les principaux Clouds) qui offre à la fois des outils de surveillance de haut niveau et des outils de troubleshooting de bas niveau.
Splunk User Behaviour Analytics (Splunk UBA), fruit du rachat de Caspida en 2015, est une solution clé en main d’analyses comportementales pour repérer des cyber-attaques en cours et des menaces internes. S’appuyant sur les Data Sciences, le Machine Learning, et des corrélations avancées d’évènements, Splunk UBA aide à repérer les comportements déviants, à détecter les APTs, à signaler les usages inhabituels de solutions SaaS, à découvrir les tentatives d’exfiltration de données, etc.
Même si elles ont des origines différentes et peuvent s’utiliser indépendamment, les solutions Splunk ES et Splunk UBA sont complémentaires et de plus en plus souvent combinées. Depuis la version 4.1, Splunk ES intègre une fonctionnalité d’ingestion des données d’anomalies de Splunk UBA avec préservation des contextes et des indicateurs de risques.