Le dernier .conf de Splunk s’est concentré sur les données des machines, la fédération, la résilience et l’assouplissement du fardeau de la cybersécurité. C’est un bon début pour le cyber-géant, mais du point de vue des leaders de la sécurité, le travail demeure.
Ce mois-ci, Splunk a apporté sa conférence annuelle sur la clientèle, .Conf, à Boston, avec la société mère Cisco pour le trajet. Comme d’habitude, .conf a été un événement festif, avec des compétitions d’équipe bleue, des amateurs de splunk portant Fez, des poneys nommés Buttercup et une performance du groupe Weezer. Mais entre le plaisir, de nombreux thèmes et annonces ont été déployés visant à remplir les carences de splunk, à tirer parti des synergies entre Cisco et Splunk, répondant aux besoins des utilisateurs et répondant à la dynamique du marché.
Voici un aperçu des principaux plats à emporter de .conf et une analyse de l’endroit où Splunk devrait diriger ses attentions dans les mois et les années à venir.
Les données de la machine peuvent suralimenter la réponse à l’incident de l’IA
Naturellement, les données de la machine étaient un thème principal de l’événement. Des traces, des événements, de la télémétrie, des journaux, et ainsi de suite – les haut-parleurs Cisco et Splunk ont affirmé que les données de machine représentent à elles seules 55% de la croissance mondiale des données. Et tandis que les LLM sont devenues omniprésentes, elles sont formées sur des données générées par l’homme, laissant les données de la machine dans le froid.
Cisco et Splunk croient que les LLM formées sur les données de la machine seraient beaucoup mieux à reconnaître les modèles, à hiérarchiser les bonnes étapes de correction et à prédire les tendances futures. Du point de vue de la cybersécurité, cela pourrait entraîner une meilleure analyse temporelle des événements dans une chaîne de mise à mort, par exemple. Imaginez déclencher des actions de réponse aux incidents immédiates à travers le réseau – correction des systèmes, segmenter un réseau, ajoutant un pare-feu ou une règle de détection, etc. – purement provoqué par un petit téléchargement de logiciel sur un seul point final. C’est la vision, et le tandem a fait plusieurs annonces à l’appui des données de la machine, y compris le tissu de données Cisco et le lac Data – tous construits sur une fondation Splunk.
La résilience réside à la confluence de la sécurité et de l’observabilité
Il y avait également un message clair autour de la résilience – la capacité de maintenir la disponibilité et de récupérer rapidement de tout événement informatique ou de sécurité.
Du point de vue Cisco / Splunk, cela signifie une relation plus étroitement couplée entre la sécurité et l’observabilité.
Je me souviens d’une conversation que j’ai eue avec le directeur des risques d’une grande banque américaine il y a plusieurs années. Paraphraser sa déclaration sur la résilience: «Si les systèmes informatiques sont en baisse, je me fiche que ce soit dû à une catastrophe naturelle, à un routeur erroné ou à une violation de sécurité. Mon travail consiste à identifier et à atténuer les risques, donc aucune de ces choses ne peut perturber l’entreprise.»
Dans l’entreprise d’aujourd’hui, les obstacles à l’observabilité / la consolidation de la sécurité sont artificiels – des choses comme les budgets, les structures organisationnelles et les objectifs et la rémunération du personnel. Mais l’agrégation de l’observabilité et de la sécurité améliorerait considérablement la résilience informatique et aurait certainement un sens pour mon ami CRO.
Splunk fait des efforts supplémentaires pour bien jouer avec les autres
Alors que les vendeurs possèdent les projecteurs lors de leurs événements clients, .Conf a offert un sous-thème rafraîchissant: en tant qu’entité combinée, Cisco et Splunk, malgré leurs ressources et la clientèle mondiale, je ne peux pas tout faire.
Ce sous-thème est allé de diverses annonces et initiatives.
Par exemple, dans le passé, Splunk conseillerait que toutes les données de journal soient centralisées (dans Splunk, bien sûr). Mais cette stratégie a conduit à des coûts de stockage élevés, à des problèmes de performances et à la nécessité d’ingénierie et de régler constamment l’infrastructure Splunk. En conséquence, certains clients sont passés à la recherche de pâturages plus verts.
Au cours des dernières années, cependant, Splunk a adopté un modèle fédéré, dans lequel les équipes de sécurité peuvent stocker leurs données sur des référentiels alternatifs avec la possibilité d’effectuer des recherches fédérées. Je pourrais déplacer les données NetFlow, les données de conformité pures ou les journaux DHCP à un seau S3 – un stockage moins cher mais toujours disponible pour des enquêtes ou des audits. Splunk vient d’étendre ce modèle avec le soutien à Snowflake.
Mis à part ce partenariat et d’autres, Splunk poursuit également une approche plus basée sur des normes que beaucoup de ses concurrents – quelque chose qui aurait dû être mis en évidence dans les présentations principales. Du côté de l’observabilité, Splunk a longtemps soutenu la norme des API, SDKS, etc. pour la cybersécurité ouverte, Splunk a contribué à créer le cadre de cybersécurité ouvert (OCSF), une source ouverte, différents outils de sécurité pour partager et analyser les événements de sécurité plus efficacement.
Au-delà de Splunk, l’adoption de ces normes pourrait améliorer l’intégration, le traitement et l’analyse des données de cybersécurité pour tout le monde.
Se concentrer sur les opérations de sécurité
Splunk a également mis l’accent sur l’assouplissement du fardeau autour des opérations de sécurité. Il a annoncé une version première de Splunk Enterprise Security, une plate-forme intégrée qui comprend SIEM, SOAR, UEBA, Threat Intelligence Management, AI Assistant et un analyste Workbench. Splunk a également annoncé la détection de détection pour obtenir de l’aide pour la gestion de l’ingénierie de détection – les détections comme code, création de règles, gestion du changement, flux de travail, etc. Enfin, Splunk a décrit les fonctionnalités et les initiatives de l’IA agentiques concernant la détection des menaces, l’automatisation du flux de travail et la réponse aux incidents qui sont disponibles aujourd’hui ou à venir bientôt.
Défis et route à venir
Le but d’une conférence des utilisateurs est de faire en sorte que les clients se sentent bien dans leur relation avec un fournisseur. Bien que .Conf 2025 a atteint cet objectif, Splunk fait toujours face à des défis à venir.
Certains clients Splunk restent blasés par des coûts élevés, des tactiques de vente agressives et un support client tiède au cours des dernières années. Il peut s’agir de comptes marginaux, mais beaucoup sont courtisés par les réseaux Crowdsstrike, Google, Microsoft et Palo Alto. Splunk doit doubler les communications clients, la gestion des relations et le support technique dès que possible.
Splunk souffre également d’une image de «fournisseur hérité» car son succès a été construit dans l’ère sur site plutôt que dans le cloud. Pour contrer ce récit, Splunk devrait articuler agressivement une vision de l’endroit où les opérations de sécurité passent au cours des cinq prochaines années. Il y avait des indices de haut niveau de cela à .conf, y compris les thèmes ci-dessus concernant la résilience, la fédération et les normes ouvertes. Maintenant, Splunk doit évangéliser une vision détaillée du marché large – pas seulement un public captif et de soutien.
Au-delà de la messagerie AI et de la mise en œuvre technique, Splunk doit mener avec des cas d’utilisation solides et des mesures de support sur où l’IA offre la plus grande frange pour le Buck pour les opérations de sécurité. Pour être clair, non seulement où il accélère les processus ou améliore l’efficacité humaine, mais où les organisations peuvent réaliser des améliorations mesurables dans l’efficacité de la sécurité et l’atténuation des risques. Plus les détails et les conseils, mieux c’est.
Compte tenu de sa grande clientèle mondiale, je crois également que Splunk doit devenir un leader de la défense collective. Dans ce modèle, une observation – c’est-à-dire un type spécifique d’actif exposé, des menaces axées sur l’industrie, un runbook efficace, un exercice d’équipe rouge, etc. – chez un client peut être utile pour tous les clients. Splunk pourrait agir en tant que SHERPA ISAC et des opérations de sécurité axée sur l’IA pour tous ses clients.
Enfin, Splunk a effectué des travaux pour intégrer les risques, la vulnérabilité et la gestion de l’exposition dans son offre de sécurité. Plutôt que de construire un centre d’opérations de risque distinct comme le suggèrent les autres fournisseurs, Splunk devrait intégrer pleinement la vulnérabilité et la gestion de l’exposition dans le SOC. Cela solidifierait la position de Splunk en fournissant l’ensemble de l’enchilada de sécurité: prévention, détection et réponse.
J’ai travaillé avec suffisamment de clients Splunk pour voir qu’avec le bon engagement et les ressources, Splunk fournit une base solide et robuste pour les opérations de sécurité. C’est à Splunk (et à Cisco) de convaincre le marché dans son ensemble que cela est vrai aujourd’hui et que le reste à l’avenir.
