Cisco · Software · ficha YoctoIT

Splunk

Ahora parte de Cisco: la referencia de SIEM y observability sobre los logs — la seguridad y la TI que se leen en los datos máquina.

FOCUS · LOS LOGS QUE HABLANBuscar, correlacionar, reaccionar: la plataforma donde los datos máquina se convierten en respuestas
Material YoctoIT para clientes y partners · Cisco, Meraki, Splunk, Duo y los demás productos citados son marcas de Cisco Systems, Inc. o di sue affiliate.
01 · Qué es

Splunk, en claro.

Splunk indexa cualquier dato máquina — logs, métricas, eventos — y lo hace consultable en tiempo real con SPL. Encima: Enterprise Security como SIEM (correlaciones, risk-based alerting, SOAR) y el Observability para aplicaciones e infraestructura. Con la adquisición por Cisco, la telemetría de red y seguridad converge aquí.

Any data
todo lo que loguea entra: schema-on-read, sin formatos impuestos
SPL
el lenguaje de búsqueda: de la pregunta a la respuesta sobre miles de millones de eventos
RBA
risk-based alerting: menos alertas, más historias que merecen un analista
Splunk
IMAGEN OFICIAL CISCO · SPLUNK
CONSOLE REALE · SPLUNK ENTERPRISE SECURITY · FONTE: SPLUNK
CONSOLA REAL · SPLUNK ENTERPRISE SECURITY · FUENTE: SPLUNK
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

La plataforma

SOC & IT operationsquien investiga y quien opera
Ingesta & índice
Search (SPL)
ES · SIEM + SOAR
recoger · entender · responder
Dashboards & alertasla visibilidad operativa
Fuentes: red, seguridad, apps, OTtodo el parque que habla
Del log crudo a la decisión

Ingesta gobernada

Splunk se paga (también) por volumen: sourcetypes, filtros y retención diseñados antes salvan el presupuesto.

Casos de uso de seguridad

Las correlaciones sobre TU entorno: autenticaciones, patrones de ransomware, exfiltraciones — no reglas de manual.

SOAR que trabaja

Los playbooks de enriquecimiento y contención: de noche responde la automatización.

Con la telemetría Cisco

Firewalls, ISE y la red dentro: la historia del incidente completa, no a trozos.

03 · En profundidad

La plataforma de datos de seguridad y observability

Splunk indexa cualquier log con schema-on-read (SPL para buscar, correlacionar, visualizar): Enterprise Security es el SIEM (risk-based alerting que agrega las señales por entidad, detecciones curadas), SOAR orquesta la respuesta con playbooks visuales, Observability Cloud une métricas/trazas/logs para el APM; la adquisición por Cisco trae las telemetrías de red y la TI de Talos dentro; el despliegue es cloud u on-prem, la licencia por ingesta o por workload.

  • SPL — el lenguaje que lo consulta todo: el log se convierte en respuesta
  • RBA — las alertas agregadas por riesgo-entidad: el ruido se desploma, la señal queda
  • ES + SOAR — detección y respuesta orquestada: el SOC con manos
  • Observability — métricas, trazas y logs unidos: la caída entendida en minutos
  • Talos + rete Cisco — las telemetrías de red nativas: la pareja tras la adquisición
  • Workload pricing — la licencia sobre el cálculo, no sobre los GB: la ingesta respira
04 · Números y ciclo de vida

Los números que cuentan.

PB
la escala de indexación
-70%
las alertas con RBA típico
2800+
las apps en Splunkbase
24/7
en nuestro flujo SOC/NOC
Splunk rinde con el contenido: parsers, detecciones y playbooks los calibramos nosotros — la plataforma que paga su ingesta.
05 · Casos de uso

Dónde rinde de verdad.

SOC corporativo

El SIEM de referencia, con nuestras reglas.

Troubleshooting de TI

La causa encontrada buscando, no reiniciando.

Compliance de logs

Retención e informes para NIS2, PCI, auditorías.

Los datos máquina ya saben qué pasó: Splunk los hace hablar, nosotros los escuchamos 24/7.