Mit dem Fokus auf das Analysieren und Visualisieren von Log-Daten ist Splunk in den vergangenen Jahren stattlich gewachsen. Terabytes an Maschinendaten aus verschiedenen Quellen werden dabei in Echtzeit gesammelt, indexiert und analysiert, um Muster zu erkennen, die beispielsweise auf suboptimale Prozesse, Sicherheitsrisiken oder - in IoT-Zeiten - den Wartungsbedarf eingesetzter Maschinen hinweisen.
Inzwischen hat sich die Plattform stark weiterentwickelt, sie führt Log-Daten mit Business- und Benutzerdaten zusammen. Das ist die Ausgangsbasis, von der aus sich Splunk zu einer Datendrehscheibe für Unternehmen weiterentwickeln will. Vor diesem Hintergrund hat das Unternehmen auf seiner Anwenderkonferenz .conf21 grundlegende Verbesserungen an seiner Splunk Cloud Platform präsentiert.
Splunk Cloud Platform für Multi-Cloud-Umgebungen
Vorgestellt wurde etwa der Data Manager, der sich gegenwärtig noch in der Preview-Phase befindet. Er soll das Einspielen und Nutzen von Cloud-nativen Daten zunächst aus Amazon Web Services (AWS) und Microsoft 365, später dann auch aus der Google Cloud Platform und aus Microsoft Azure in die Splunk-Plattform vereinfachen und die Automatisierung von Vorgängen unterstützen.
Kunden sollen mit der Cloud-Plattform mehr Transparenz über ihre Daten bekommen, egal ob sich diese in der Public Cloud, im eigenen Data Center, an Edge-Lokationen, in eigenen Anwendungen oder in Tools von Dritten befinden. Ziel ist es, der Klientel ein reibungsloses Datenmanagement in einer heterogenen und zunehmend komplexen IT-Welt zu ermöglichen.
Ebenfalls als Preview zeigte das Unternehmen die "Ingest-Actions"-Funktion, mit der Kunden "Daten in Bewegung" bearbeiten, redigieren, filtern und an Splunk oder einen externen AWS-S3-Speicher weiterleiten können. Bereits verfügbar sind "Federated Search" und "Splunk Dashboard Studio": Ersteres soll verschiedenen Mitarbeitern im Unternehmen die gleiche Nutzererfahrung bieten, so dass von überall unter identischen Voraussetzungen mit der Splunk-Plattform gearbeitet werden kann. Dashboard Studio indes soll Kunden Einblicke in komplexe Datenzusammenhänge ermöglichen - jetzt auch auf mobilen Endgeräten unter iOS und Android.
Systemadministratoren und Entwicklern bietet Splunk erweiterte Self-Services-Möglichkeiten. Egal ob das Unternehmen in der Public Cloud, on Premises oder hybrid arbeitet: Mit dem Splunk Operator for Kubernetes sollen Techies ihre individuellen Cloud-Landschaften einfacher verwalten und skalieren können, heißt es. Zudem wurde die Benutzeroberfläche der Plattform Splunkbase verfeinert. Dort stehen Apps und Add-ons für individuelle Anforderungen bereit, die nun kuratiert und besser auffindbar sein sollen. Die Apps und Tools dort werden von Entwicklern aus der Splunk-Community beigetragen.
Splunk ist zudem enger an den Partner Intel herangerückt, damit die Datenplattform in allen Intel-Architekturlandschaften nahtlos läuft. 83 Prozent der weltweiten Cloud-Instanzen werden laut Splunk von Intel-Prozessoren unterstützt, weshalb man den Kunden in dieser Hardwarewelt durch die Zusammenarbeit mit dem Prozessorgiganten tiefere Insights und flexiblere Deployment-Möglichkeiten bieten wolle.
Splunk Observability Portfolio: Infrastruktur im Blick
Einen zweiten Schwerpunkt legte Splunk in seiner Veranstaltung auf das ausgebaute Observability-Portfolio. Kunden sollen damit ihre IT-Infrastruktur besser überwachen und deren Leistungsfähigkeit erhöhen können. Laut Splunk wird es in einer hyperdigitalisierten Welt für Entwicklungs- und DevOps-Teams immer komplizierter, Services zuverlässig bereitzustellen und eine optimale Kundenerfahrung zu sichern. Cloud-Native-Anwendungen in Kombination mit komplexen Infrastrukturen und Applikationswelten machten dies zu einer Herausforderung.
Das Observability-Portfolio soll Kunden eine Realtime-Kontrolle über ihre Daten, Metriken, Traces und Logs geben - vom Endgerät bis hin zum Anwendungsservice am Backend. Anwender sollen so in die Lage versetzt werden, die operativen Herausforderungen zu meistern, die mit dem Verwalten komplexer Hybrid- und Multi-Cloud-Umgebungen einhergehen. Es gehe darum, Anwendungen einfacher zu managen, die Infrastruktur besser auszulasten und die Kosten für die Public Cloud zu optimieren.
Konkret präsentierte das Unternehmen in Zusammenhang mit seinem Observability-Portfolio Neues zu den Produkten "Application Performance Monitoring (APM)", "Real User Monitoring (RUM)", "Synthetic Monitoring", "Log Observer", "Infrastructure Monitoring" und "IT Service Intelligence". Für APM führte das Unternehmen beispielsweise das AlwaysOn Profiling ein, mit dem Kunden ihren Anwendungscode analysieren und Service-Engpässe finden können. Außerdem sollen sie damit Möglichkeiten der Ressourcenoptimierung und Kosteneinsparung in der Cloud identifizieren.
Andere Funktionen decken zu langsame Datenbankabfragen auf, so dass Kunden schwache Transaktionslatenzen erkennen und Performance-Probleme sowie Service-Unterbrechungen reduzieren können, bevor die Endanwender etwas davon merken. Das Unternehmen will zudem die Fähigkeit seiner Kunden verbessern, aus Daten schnell Erkenntnisse (Insights) zu gewinnen. Dazu vertreibt Splunk nun vermehrt Dashboards und Detektoren out of the box: Anwender sollen weniger Aufwand bei der Ersteinrichtung haben und schnell Mehrwerte generieren können.
Das Infrastructure Monitoring AutoDetect, das sich noch in der Preview-Phase befindet, soll Kunden schneller an die Splunk Cloud Plattform heranführen, automatisch Anomalien in der Infrastruktur erkennen und über das Dashboard Alarme senden. Darüber hinaus bietet die App for Content Packs eine zentrale Anlaufstelle für vorgefertigte Inhalte, sofort einsatzbereite Suchen und Dashboards für gängige IT-Infrastrukturanwendungen und -dienste - einschließlich neuer Content Packs für die Verwaltung von Microsoft365, APM-Tools von Drittanbietern und Synthetic Monitoring.
Security Cloud und Splunk SOAR ausgebaut
Last, but not least präsentierte der Anbieter Erweiterungen für die Produkte "Splunk Security Cloud" und "Splunk SOAR" (SOAR = Security orchestration, automation and response), mit denen Kunden eine Security-Operations-Center-(SOC)-Plattform einschließlich KI-, Analytics und Automatisierungsfunktionen betreiben können. Dem Hersteller zufolge leiden Chief Information Security Officers (CISOs) nicht nur unter der sich ständig verändernden und vergrößernden Bedrohungslandschaft, sondern auch darunter, dass in gemischten On-premises- und Hybrid- sowie Public-Cloud-Umgebungen Komplexitäten entstehen, die Blindspots für Angreifer bieten.
Damit wird es für die SOCs schwieriger, Cyberangriffe zeitnah zu entdecken und darauf zu antworten. Splunk will ihnen mit einer in der Cloud betriebenen SOC-Plattform den Weg weisen, zu deren wichtigsten Eigenschaften weitreichende Analytics- und Automatisierungsfunktionen zählen. "Viele Security Teams haben keinen vollständigen Überblick in ihren Cloud-Umgebungen", warnt Splunk-Managerin Jane Wong. Sie würden von den vielen Alerts und manuellen Aufgaben völlig überrannt und nutzten oft zu viele unterschiedliche Tools. Splunk reagiere darauf mit der Integration von mittlerweile mehr als 2.400 Partnerlösungen, darunter der von Mandiant für eine verbesserte SOC-Effektivität, von Zscaler für End-to-End Zero Trust und von DTEX für das Erkennen und Beheben von Insider-Bedrohungen.
Kevin Mandia, CEO von Mandiant, begrüßt die Partnerschaft: "Durch die Zusammenarbeit mit Splunk haben Kunden die Möglichkeit, ihre Kontrollen und ihre Sicherheitsprogramme zu validieren, um festzustellen, wie sie sich in einem bestimmten Angriffsszenario schlagen würden", sagt Mandia. "Darüber hinaus haben sie Zugang zu Bedrohungsdaten, die durch die Mandiant-Forschung gestützt werden und die Erkennung in Splunk Enterprise Security verbessern."
Im Zuge der Cloud-Migration kommt es für Sicherheitsteams auch darauf an, Bedrohungen schneller zu erkennen, damit ihre Unternehmen sicher und gesetzeskonform arbeiten können. Splunk will dabei mit seiner Security Cloud unterstützen. Darin soll Risk-Based Alerting (RBA) den SOCs helfen, Bedrohungen genauer zu erkennen und Alarme zu priorisieren sowie deren Aufkommen durch bessere Analysen und Automatisierung einzuschränken. Ebenso können Führungskräfte wichtige Metriken und Einblicke in den Gesamtzustand der Sicherheit ihrer Organisation - visuell aufbereitet - an die Hand bekommen.
Im August führte das Unternehmen für Splunk SOAR einen visuellen Playbook-Editor ein, der das Erstellen, Bearbeiten, Implementieren und Skalieren von automatisierten Playbooks - gemeint sind vordefinierte Abläufe etwa bei Malware- und Phishing-Angriffen oder DDoS- und Ransomware-Attacken - erleichtert. Sie sollen Unternehmen dabei helfen, manuelle Eingriffe zu begrenzen, um auf Sicherheitsvorfälle "in Maschinengeschwindigkeit" reagieren zu können.
Jetzt hat das Unternehmen zusätzlich den Splunk SOAR App Editor vorgestellt, mit dem laut Hersteller SOAR-Apps besser bearbeitet, getestet und erstellt werden können. Dies ermögliche die Integration und Automatisierung von Splunk SOAR mit häufig verwendeten Tools von Drittanbietern. Darüber hinaus gibt es inzwischen über 350 Splunk-SOAR-Apps auf der Splunkbase-Plattform.
Nach der Übernahme von TruSTAR zu Beginn dieses Jahres hat Splunk zudem seine Intelligence-Marktplatz-Quellen erheblich erweitert. TruSTAR, das inzwischen Splunk Intelligence Management heißt, soll Kunden helfen, neueste Sicherheitsinformationen besonders schnell in ihrem Ökosystem von Teams, Tools und Partnern zu verteilen. Neue Erkenntnisse sollen so direkt in Splunk Enterprise Security und Splunk SOAR einfließen.
Darüber hinaus hat Splunk SURGe ins Leben gerufen, ein Eliteteam von Cybersecurity-Experten, das bei hochkarätigen und zeitkritischen Cyberangriffen technische Unterstützung leisten soll. Es widmet sich dem Erforschen und Beantworten von Bedrohungen, die weltweit relevant sind. Als vertrauenswürdiger Berater bietet SURGe den Sicherheitsteams der Kunden Unterstützung in Form von Response-Leitfäden, Research Papers und Webinaren.
"SURGe kommt bei hochkarätigen Sicherheitsvorfällen zum Einsatz", sagt Ryan Kovar, Distinguished Security Strategist bei Splunk. "Angesichts neuer Cyberangriffe, wie Kaseya oder SolarWinds, unterstütze SURGe Blue Teams, indem es kontextbezogene Informationen liefere. "Wir liefern Details zum Beispiel darüber, wer hinter einem größeren Cyberangriff steckt, wie er diesen umsetzt und welche Techniken zum Einsatz kommen", sagt Kovar. "Wir zeigen den Kunden auch, wie sie unsere Sicherheitsforschung in Ihren Response-Workflow einbinden können, damit Sie Exploits schneller identifizieren und darauf reagieren können."
Accenture und Splunk gründen Business Group
Ebenfalls auf der.conf kündigte das Unternehmen die "Accenture Splunk Business Group" an. Sie sll das technische und branchenspezifische Wissen des Beratungshauses mit der Plattformerfahrung und -technologie von Splunk zusammenen. Gemeinsam wollen die Partner Kunden dabei unterstützen, Erkenntnisse aus ihren Daten zu gewinnen sowie ihren IT-Betrieb, ihre Zulieferketten und ihre Sicherheitsprozesse besser in den Griff zu bekommen. Angeblich beschäftigen sich bei Accenture derzeit rund 8000 Mitarbeiter mit der Splunk-Technologie. (hv)