Splunk et Cisco ont présenté l'intégration d'agents IA dans les solutions de sécurité et d'observabilité. (Crédit Splunk)
A l'occasion de sa conférence annuelle, Splunk propriété de Cisco a présenté des agents IA pour les équipes IT et de sécurité des entreprises. Elle bénéficieront de fonctions d'automatisation, d'une réponse proactive et une observabilité en temps réel.
Réunis à Boston pour l'évènement .con25, les clients et les partenaires de Splunk ont été attentifs aux annonces de la société rachetée par Cisco en mars 2024. Les deux entreprises poursuivent le travail d'intégration entre leur deux portefeuilles. Cette année, le cap est mis sur les agents IA qui s'invitent dans les solutions d'observabilité et sécurité. Ils visent à automatiser la réponse aux menaces, rationaliser les opérations IT et gérer les environnements complexes.
Une sécurité renforcée par les agents IA
Au coeur des annonces, il y a Enterprise Security Premier et Enterprise Security Essentials qui vont unifier les workflows de sécurité pour la détection, l'investigation et la réponse aux menaces (TDIR). Basés sur Enterprise Security 8.2, ces deux offres intègrent des agents d'IA capables d'orchestrer et d'automatiser des workflows complexes. « Nous avons combiné toutes les expériences de Splunk en une seule expérience produit unifiée », a expliqué Kamal Hathi, vice-président senior et directeur général de la division Splunk chez Cisco. Enterprise Security Essentials combine donc Enterprise Security 8.2, AI Assistant in Security et Detection Studio dans un paquet unique offrant une expérience unifiée. Quant à Enterprise Security Premier, il intègre en plus les fonctions SOAR (Security Orchestration, Automation, and Response) et UBEA (User and Entity Behavior Analytics).
Un agent sera chargé de l'analyse des comportements des utilisateurs et des machines (UEBA). (Crédit Splunk)
Sur la partie sécurité, Splunk a également mis à jour ses agents IA avec des fonctionnalités supplémentaires. Ainsi, un agent de triage évalue, hiérarchise et explique les alertes afin de simplifier la tâche des analystes et mettre en évidence les alertes les plus significatives. L'agent de neutralisation des malwares décrit les scripts malveillants, extrait les indicateurs de compromission, signale les tentatives d'évasion et regroupe les comportements récurrents. De son côté, AI Playbook Authoring traduit l'intention du langage naturel en playbooks SOAR fonctionnels et testés. L'agent Response Importer respecte les procédures opérationnelles standard définies par le centre des opérations de sécurité (SOC) et utilise LLM pour importer procédures dans les plans de réponse de sécurité des entreprises. Une librairie de détection améliorée par l'IA optimise les réponses à incident. De même, un générateur SPL (search processing language) personnaliser les détections dans la bibliothèque pour les aligner sur les environnements SOC. Enfin, WebEx Response Automation crée des salles de crises dans l'outil de visioconférence de Cisco à l'aide de playbooks SOAR lorsqu'un incident se produit. A noter que Cisco a également intégré Isovalent Runtime Security eBPF (extended Berkeley Packet Filter) dans Splunk afin d'offrir une visibilité sur l'ensemble des charges de travail et d'identifier les failles de sécurité potentielles et les anomalies de l'infrastructure. Le fournisseur a par ailleurs étendu la recherché fédérée de Splunk Cloud pour Amazon S3 et security analytics and loggings (SAL) donnant la capacité aux analystes d'effectuer des analyses de sécurité sur les journaux de pare-feu stockés dans SAL.
Des améliorations de l'observabilité grâce à l'IA
Cisco a aussi annoncé la mise à jour de Splunk Observability afin d'utiliser Cisco AgenticOps, qui déploie des agents IA pour automatiser la collecte de données télémétriques, détecter les problèmes, identifier les causes profondes et appliquer des correctifs. Ces mises à jour des agents IA aident les entreprises clientes à automatiser la détection des incidents, l'analyse des causes profondes et les correctifs de routine. « Nous veillons à ce que tous nos outils, tant dans AppDynamics que dans Observability Cloud, tirent réellement parti des atouts les uns des autres, c'est-à-dire qu'ils peuvent exploiter les données et les informations provenant à la fois de la télémétrie d'observabilité traditionnelle et de l'entreprise », a expliqué Kamal Hathi. « C'est une toute nouvelle dimension de l'observabilité qui permet de comprendre non seulement les performances d'une machine, d'une application, d'un réseau ou d'une infrastructure, mais aussi l'impact réel sur l'activité. Un dernier élément se situe autour de la notion d'observation et de compréhension de ce que fait l'IA elle-même. »
Splunk intègre les données métiers et les données machine afin de proposer aux entreprises de corréler les problèmes techniques avec leur impact métier et d'offrir une visibilité sur le comportement et les performances des systèmes et des agents IA. Parmi les fonctionnalités, on trouve AI-Directed Troubleshooting qui fournit un dépannage guidé par l'IA basé sur l'analyse des incidents et l'identification de leurs causes profondes. De son côté, Event IQ aide les équipes à configurer la corrélation des alertes automatisées. La fonction ITSI (IT service Intelligence) episode summarization livre des aperçus des alertes regroupées. Quant à AI agent monitoring, il est en charge de surveiller la qualité et le coût des LLM. Il est complété par l'agent en charge de la surveillance de la santé et la consommation de l'infrastructure. Cisco rassemble AppDynamics et Observability Cloud, tout en approfondissant l'intégration avec ThousandEyes afin que les équipes d'entreprise puissent mieux identifier l'impact du réseau sur les performances des applications et l'expérience des utilisateurs finaux.
La fonction Event IQ utilise l'IA pour créer des corrélations d'alertes qui réduisent le bruit. (Crédit Splunk)
« Cela fait des années que nous intégrons l'IA et nous sommes ravis d'annoncer l'ajout de fonctionnalités basées sur l'IA agentique à l'ensemble du portefeuille Splunk Observability afin d'aider les équipes à enquêter et à résoudre les problèmes plus rapidement », ont écrit Dayna Lord et Patrick Lin dans un blog. « Grâce à la corrélation des alertes basée sur l'IA, au résumé des épisodes et aux agents d'IA pour la détection, le dépannage et la remédiation, l'IA agentique permet aux équipes de comprendre, de dépanner et de résoudre plus rapidement les incidents ayant un impact sur l'activité. »
Suivez-nous