同社が提供しているSIEM(Security Information and Event Management)やSOAR(Security Orchestration, Automation and Response)製品についても幾つかのアップデートが公開された。
SIEMプラットフォーム「Splunk Enterprise Security」では、MLを駆使した新しい行動ベースの分析および検出機能アドオンが追加された他、顧客からのリクエストに応えて、複数のドリルダウン検索やインシデントレビューにおけるタイムライン、インシデントレビューの自動リフレッシュなどの機能が加わった。
Splunkのマイク・ホーン氏(Senior Vice President and General Manager of Security)は「セキュリティ担当者は製品から発せられる膨大な数のアラートへの対応を迫られ疲弊している。これを解消するには、統合化された基盤によって脅威の検出から調査、対応までをシームレスに実現することが重要だ」と語る。
SOAR製品「Splunk SOAR」の最新バージョンである6.1では、他のプロセスが同時に実行されている間の自動ループ動作を実現するロジックループ機能が実装予定である他、プレイブックのトリガーを自動化する機能を実装したり、コネクターエコシステムを改善したりする。
また買収した脅威分析ソリューション「TwinWave」をリブランディングし、次世代脅威分析プラットフォーム「Splunk Attack Analyzer」(以下、Attack Analyzer)として新たに提供する。
Attack Analyzerはマルウェアや認証情報フィッシングの分析プロセスを自動化し、検出を回避するために使用される複雑な攻撃手法を明らかにする。これに加えてサイバー脅威の検出も可能で、QRコードのスキャンやWebページのボタンをクリックを自動で実施する。
「Attack AnalyzerをSplunk SOARと統合することで、セキュリティアナリストは簡単に脅威フォレンジックを自動化し、正確でタイムリーな検出を提供し、手動調査に費やす時間とリソースを削減できる」(マイク氏)
オブザーバービリティの強化に向けては、オブザーバビリティツール「Splunk Observability Cloud」(以下、Observability Cloud)に関連した幾つかの新機能が紹介された。
Observability Cloudのテクニカルアドオンには「OpenTelemetry Collector」が加わった(現在プレビュー版を提供)。OpenTelemetry Collectorをインストールしてデプロイメントサーバに入れると、コンフィグ管理が他のテクニカルアドオンと同様にできるようになる。
また、「Unified Identity」という機能も発表された。これを利用することで単一のユーザーIDで「Splunk Cloud Platform」およびObservability Cloudにシームレスかつ迅速にアクセスできるようになる。その結果、顧客は改善されたログインエクスペリエンスを得て、Splunk Cloud Platformのログデータにスピーディーにアクセスして、より迅速なトラブルシューティングが可能となる。
その他、Splunk Cloud Platformと「Splunk Enterprise」のバージョン9.1では以下の機能強化が発表された。
Copyright © ITmedia, Inc. All Rights Reserved.