Splunk verenigt de SOC-ervaring met AI-agents als alleskunners

dinsdag, 9 september 2025 (14:40) - Techzine

In dit artikel:

Tijdens conferentie .conf25 heeft Splunk een grote update van zijn security-portfolio aangekondigd, waarbij eigenaar Cisco nauw wordt betrokken en AI-agents en automatisering centraal staan om de security-ervaring te vereenvoudigen.

Splunk introduceert twee nieuwe smaken van Enterprise Security: Essentials en Premier. Essentials bouwt voort op Splunk Enterprise Security 8.2 en voegt geïntegreerde functies samen—onder meer de Splunk AI Assistant en Detection Studio—zodat detecties kunnen worden getest, uitgerold en continu gemonitord binnen één omgeving. Kern is het gebruik van AI-agents die workflows orkestreren, van triage en het terugdraaien van malware-infecties tot het automatisch opstellen van SOAR-playbooks.

Die agents zijn ontworpen om te werken volgens SOC-best practices en standaardprocedures; multimodale AI-modellen leveren die basiskennis. Essentials maakt ook het uitbreiden van detectielibraries en het personaliseren van detecties in Splunk Processing Language (SPL) eenvoudiger. Specifiek voor Cisco-omgevingen is er een mogelijkheid om bij incidenten automatisch een ‘war room’ in Webex op te zetten.

Premier voegt bovenop Essentials nog Splunk SOAR en UEBA toe, waardoor gedragsanalyse van gebruikers en entiteiten en geavanceerde orkestratie beschikbaar komen in één samenhangende ervaring.

De aankondigingen sluiten aan op Cisco’s visie van een ‘agentic SOC’, waarin analisten zich richten op strategische beslissingen terwijl AI-routinewerk afhandelt. Technische integraties die genoemd werden zijn onder meer Isovalent Runtime Security voor inzicht in workloads en de koppeling van Cisco Security Analytics and Logging (SAL) aan Splunk Cloud’s Federated Search voor Amazon S3—waardoor firewall-logs uit SAL geraadpleegd kunnen worden zonder aparte ingestie.

Kortom: Splunk en Cisco willen een datagedreven, minder fragmentarische SOC neerzetten door functies te verenigen en data-uitwisseling te minimaliseren. De samenvoeging van beide portfolios is omvangrijk en zal tijd kosten, maar heeft als doel een meer native, frictionless security-ervaring te bieden waarbij agents routinetaken overnemen en analisten vrijspelen voor complexere taken.