• Observabilidad general: La plataforma Splunk puede integrar seguridad, TI, aplicaciones y otras fuentes de datos. Esto, junto con sus capacidades de búsqueda y análisis federados en almacenes de datos de terceros, es una fortaleza para los clientes que buscan crear consultas y alertas altamente enriquecidas.
  
• Amplia integración: la integración de SLunk de SOAR mejora una amplia gama de casos de uso comunes de SIEM. Los clientes que desean un tiempo rápido para automatizar la producción para las funciones operativas comunes de SIEM encontrarán que la biblioteca de libros de jugadas de Splunk es una fortaleza.
  
• Interfaz de usuario: La interfaz de usuario y el panel de control de Splunk proporcionan una personalización significativa. Los clientes que requieren animaciones y visualizaciones personalizadas para un monitoreo especializado, como OT o sistemas financieros, encontrarán que el editor de interfaz de usuario es una fortaleza general.
  

Definición/Descripción del mercado

SIEM es un sistema de seguridad de registro configurable que agrega y analiza los datos de eventos de seguridad de entornos locales y en la nube. SIEM ayuda con acciones de respuesta para mitigar los problemas que causan daño a la organización y satisfacer los requisitos de cumplimiento e informes.

El sistema de información de seguridad y gestión de eventos (SIEM) debe ayudar con:

• Agregación y normalización de datos de varios entornos de TI y tecnología operativa (OT)

• Identificar e investigar eventos de seguridad de interés

• Apoyar acciones de respuesta manual y automatizadas

• Mantenimiento e informes sobre eventos de seguridad actuales e históricos

Capacidades imprescindibles

Las capacidades imprescindibles para este mercado incluyen:

• Recopilación de detalles de infraestructura y datos relevantes para la seguridad de una amplia gama de activos ubicados en las instalaciones y/o en la infraestructura en la nube.

• Capacidad para que los usuarios finales se desarrollen, modifiquen y mantengan casos de uso de detección de amenazas utilizando métodos basados en correlación, análisis y firmas.

• Proporcionar contenido del proveedor de SIEM y la instalación para el contenido creado por el cliente, en áreas que incluyen: análisis, normalización de datos, recopilación y enriquecimiento.

• Provisión de gestión de casos y apoyo a las actividades de respuesta a incidentes.

• Generaciones de informes para apoyar las necesidades comerciales, de cumplimiento y auditoría según sea necesario.

Capacidades estándar

Las capacidades estándar para este mercado incluyen:

• Almacenar datos esenciales de eventos de seguridad a largo plazo y ponerlos a disposición para la búsqueda

• Permitir la recopilación de datos de eventos de fuentes de eventos dispares, utilizando múltiples mecanismos (flujo de registro, API, procesamiento de archivos) con el fin de casos de uso de detección de amenazas, informes e investigación de incidentes

• Múltiples opciones de implementación para incluir en las instalaciones, alojadas en la nube, nativas en la nube o SaaS

• Datos de normalización, enriquecimiento y puntuación de riesgo de sistemas de terceros

• Orquestación y automatización de tareas y flujos de trabajo para mejorar las investigaciones y limitar el impacto de los incidentes

• Funcionalidad de respuesta de automatización de orquestación de seguridad (SOAR) con todas las funciones

• Capacidades analíticas avanzadas utilizando análisis de comportamiento de entidades de usuario (UEBA), ciencias de datos (es decir, aprendizaje automático supervisado y no supervisado, aprendizaje profundo/redes neuronales recurrentes)

• Capacidades de la plataforma de inteligencia de amenazas (TIP) para gestionar la inteligencia y proporcionar información contextual sobre amenazas