Splunk bringt KI-Plattform und ein Edge Hub

Nachbericht Splunk .conf23 Splunk bringt KI-Plattform und ein Edge Hub

24.07.2023 Von Michael Matzer Lesedauer: 9 min

Anbieter zum Thema

Sinequa

Fivetran Germany GmbH

Xpand Solutions GmbH

Splunk Services Germany GmbH

Auf seiner jährlichen Anwenderkonferenz .conf23 hat der Security- und Observability-Spezialist Splunk erstmals ein Hardwaregerät für Operational Technology (OT) vorgestellt: Edge Hub. Eine zweite Neuheit ist Splunk AI, ein mehrere Module umfassendes Framework für die Anwendung von KI- und Machine-Learning-Modellen. Als Kosten sparend dürfte sich eine engere Integration mit AWS S3 erweisen.

Das Splunk Edge Hub ist ein Hardwaregerät, das Daten von Maschinen und Edge-Geräten sammelt, auswertet und zur Predictive Maintenance verwendet.
(Bild: Splunk/Matzer)

„Der Splunk Edge Hub vereinfacht die Aufnahme und Analyse von Daten, die von Sensoren, IoT-Geräten und Industrieanlagen generiert werden“, sagt Tom Casey, Senior Vice President für Product & Technology bei Splunk. „Zudem schafft er mehr Transparenz in IT- und OT-Umgebungen, indem er bisher schwer zugängliche Daten direkt in die Splunk-Plattform streamt.“

Der Splunk Edge Hub werde ausschließlich über Partner vertrieben, zunächst in den USA, ab nächstem Jahr auch in ausgewählten anderen Ländern. „Der Edge Hub wird von Splunk-Partnerlösungen unterstützt und ist für die Arbeit mit den vorausschauenden Analysen der Splunk-Plattform optimiert“, so Casey weiter. Das ermögliche eine erweiterte Überwachung, Untersuchung und Reaktion und unterstütze Unternehmen dabei, die digitale Ausfallsicherheit ihrer Systeme zu erhöhen.

Bildergalerie

Die Unified Security & Observability Platform ist Splunks Hauptprodukt und wird laufend erweitert.

Splunk AI ist ein neues Produkt-Framework, das eng mit mit dem Machine Learning Toolkit (MLTK) zusammenarbeitet.

Splunk Edge Hub optimiere die Sammlung und Untersuchung von Edge-Daten, indem es die Barrieren und Silos des Datenzugriffs in physischen und virtuellen Umgebungen aufbreche und als Datenaggregator für Plattformen anderer Anbieter fungiere. Die Hardware sei sofort einsatzbereit und könne in einer physischen Umgebung oder auf der vorhandenen OT-Hardware eines Kunden platziert werden. Sie lasse sich so konfigurieren, dass sie sofort Daten sammelt, zusammenführt und an die Splunk-Plattform überträgt.

In Kombination mit der Splunk-Plattform für Security und Observability bietet der Splunk Edge Hub den Kunden laut Casey:

Überwachung der Umgebungsbedingungen, wie Wasser, Temperatur, Feuchtigkeit und Gase, um problematische Bedingungen schnell und effizient zu erkennen und zu beheben. Der Hub fungiert also als intelligenter Sensor.

Durchführung vorausschauender Analysen, um Anomalien in Fertigungsprozessen und frühzeitige Hinweise auf Wartungsbedarf oder Ausfälle von Anlagen zu erkennen und dadurch betriebliche Ausfallzeiten zu minimieren. Das erhöht die Produktivität und Lebensdauer einer überwachten Anlage.

Umfassendere Transparenz über IT- und OT-Umgebungen hinweg, um Bedrohungen und IT-Stressfaktoren von einer einzigen Plattform aus besser erkennen, untersuchen und beheben zu können. Zur Hardware gehört eine Software-Konsole, die als Dashboard KPI-Daten bereitstellt.

Erstellung kundenspezifischer Lösungen mithilfe von Branchenexperten in Umgebungen, in denen es bisher schwierig war, Daten zu extrahieren (beispielsweise Transportwesen, Öl- und Gasindustrie und in der Lieferkette). Das Edge Hub erzeugt also seinen eigenen Markt an Lösungen.

Splunk Security and Observability Platform erweitert

Die Weiterentwicklungen betreffen das gesamte Splunk-Portfolio und bieten SecOps, ITOps und Engineering-Teams eine einheitliche Umgebung und Workflows, damit sie Bedrohungen erkennen, untersuchen und darauf reagieren können – und das schnell, präzise und in großem Umfang. Diese Innovationen bauen auf der einheitlichen Sicherheits- und Observability-Plattform von Splunk auf. Mit den Neuerungen können Unternehmen in Kombination mit den Splunk-KI-Angeboten Transparenz in ihren hybriden Umgebungen erzielen und dadurch Kosten optimieren, die Erkennung, Untersuchung und Reaktion beschleunigen und die digitale Transformation beschleunigen.

Splunk Attack Analyzer

„Die Sicherheitsteams von heute sind mit Warnmeldungen, manuellen Prozessen und isolierten Tools überfordert und ihnen fehlt oft der nötige Kontext, um komplexe Angriffe zu erkennen“, sagt Tom Casey. „Splunk-Security-Produkte bieten eine einheitliche Lösung, die branchenführende Sicherheitstechnologien von Splunk in den Bereichen Erkennung, Untersuchung und Reaktion vereint. Hierdurch werden diese Arbeitsabläufe vereinfacht und die Alarmmüdigkeit verringert.“ Mit der verbesserten Unified Security Operations Experience von Splunk sollen Kunden 95 Prozent ihrer Aufgaben bei der Reaktion auf Vorfälle automatisieren können.

Mit Splunk Attack Analyzer (ehemals Twinwave) werde nun ein neuer Ansatz eingeführt, mit dem Sicherheitsteams die Analyse von Malware- und Credential-Phishing-Angriffen automatisieren können. So könnten sie komplexe Angriffstechniken aufdecken, die genutzt werden, um die Erkennung zu umgehen. Durch die Integration mit Splunk SOAR sollen Sicherheitsanalysten mit Splunk Attack Analyzer eine automatisierte Bedrohungsanalyse durchführen können, die präzise und zeitnahe Erkennungen ermöglicht. Zudem werde der Zeit- und Ressourcenaufwand für manuelle Untersuchungen reduziert.

Splunk Observability Cloud und Splunk-Cloud-Platform-Integrationen

Zentralisierte Workflows und Tools zur Fehlerbehebung verbessern die Kundenerfahrung. Mit der Vorschau des OpenTelemetry Collector als technisches Add-on sollen Splunk-Plattform-Kunden die Splunk Observability Cloud einfacher einführen und den Collector neben ihren bestehenden Forwardern einsetzen können, um Metriken und Traces zu erfassen.

„Mit dieser neuen Funktion müssen Kunden nicht mehr zwei Agents bereitstellen und verwalten, sondern erhalten einen einheitlichen Blick auf ihre Infrastruktur und Dienste“, so Casey. „Die Einführung des Collectors ist ein Meilenstein in Splunks Engagement für das OpenTelemetry-Projekt und die Open Source Community. Kunden können damit ihre Daten einfacher und flexibler übertragen.“ Seit Jahren hat sich Splunk für diesen offenen Standard eingesetzt; jetzt scheint diese Mühe endlich Früchte zu tragen.

Mit der neuen „Unified Identity“ von Splunk können ITOps-Praktiker und -Ingenieure mit einer einzigen Benutzeridentität (Credit) nahtlos und sofort auf Splunk-Cloud-Plattform- und Splunk-Observability-Cloud-Daten zugreifen. Casey erläutert: „Für Kunden bedeutet das ein verbessertes Log-in-Erlebnis und einen sofortigen Zugriff auf Log-Daten von Splunk-Cloud-Plattform-Daten zur schnelleren Fehlerbehebung.“ Die Integration biete ITOps-Praktikern und -Ingenieuren eine gemeinsame Sammlung von Visualisierungen für eine agilere teamübergreifende Zusammenarbeit, sodass eine schnelle Erkennung und Reaktion möglich seien.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Splunk-Plattform-Erweiterungen

Umfassende Transparenz vom Edge bis zur Cloud ist nach Ansicht von Tom Casey die Grundlage für Resilienz. Die neuesten Entwicklungen der Splunk-Cloud-Plattform und Splunk Enterprise 9.1 sollen es SecOps, ITOps und Engineering-Teams erlauben, Datenflüsse über ihren gesamten Technik-Stapel hinweg zu visualisieren, um eine engere Zusammenarbeit zu fördern. Zu den Erweiterungen der Plattform gehören:

Ingest Actions bietet nun erweiterte Möglichkeiten für das Routing von Daten in mehrere, unterschiedliche Amazon S3-Buckets, was eine größere Detailtreue bei der Datenverwaltung ermöglicht.

Die neue Federated Search for Amazon S3-Vorschau bietet ein einheitliches Sucherlebnis von Daten im Ruhezustand (at rest) in Amazon-S3-Buckets – ohne dass diese Daten in Splunk aufgenommen werden müssen – und über Splunk-Instanzen und Data Lakes von Drittanbietern durch die Integration mit Ingest Actions und Edge Processor für eine bessere Datenbewegung. Kunden profitieren so von geringeren Latenzzeiten und vermeiden unnötige Egress-Gebühren. Diese Egress- oder Entnahmegebühren können beträchtliche Kosten verursachen. Diese fallen nun weg, was zahlreiche betroffene Amazon- und Splunk-Nutzer aufatmen lassen dürfte. Ob auch weitere Cloud Service Provider von diesem Vorteil der Federated Search betroffen sind, muss sich noch herausstellen.

Der Edge Processor mit SPL2 (SPL: Splunk Processing Language) ermöglicht jetzt den Datenimport und -export zu Splunk über den HTTP Event Collector (HEC), was die Verwaltung der Daten erleichtert. Um die Anforderungen an Datenhoheit und Compliance zu erfüllen, können Benutzer außerdem Standardziele pro Edge-Prozessor festlegen, um beim Routing mehr Flexibilität zu erhalten.

Splunk AI

Nagelneu ist auch Splunk AI. Diese Sammlung neuer KI-gestützter Lösungen soll Verbesserungen für die einheitliche Sicherheits- und Observability-Plattform bringen. Tom Casey weiß über halluzinierende LLM-Chatbots Bescheid. „Splunk AI kombiniert Automatisierung mit menschlicher Erfahrung (Human-in-the-loop), sodass Unternehmen die Erkennung, Untersuchung und Reaktion beschleunigen und gleichzeitig steuern können, wie KI auf ihre Daten angewendet wird.“ Hierbei stütze Splunk sich auf langjährige Erfahrung hinsichtlich der Datentransparenz und Innovationen im Bereich der KI und des maschinellen Lernens (ML), denn es verfügt mit dem Machine Learning Tool Kit (MLTK) seit mehreren Jahren über einschlägige Werkzeuge und Erfahrungen. Casey: „Mit der Bereitstellung von domänenspezifischen Erkenntnissen durch die KI-Funktionen für Sicherheit und Observability verbessert Splunk kontinuierlich das Kundenerlebnis.“

Assisted Intelligence

Der neue Splunk AI Assistant nutzt laut Casey generative KI, um ein interaktives Chat-Erlebnis zu bieten und hilft Anwendern, Splunk Processing Language (SPL) in natürlicher Sprache zu schreiben. „Die App-Vorschau unterstützt eine immersive Erfahrung, bei der Benutzer den KI-Chatbot bitten können, angepasste SPL-Abfragen zu schreiben oder zu erklären, um ihr Splunk-Wissen zu erweitern.“ Der Splunk AI Assistant verbessere die Time-to-Value und helfe, die Programmiersprache SPL zugänglicher zu machen. Unternehmen würden von einem besseren Zugriff auf ihre Daten und die daraus gewonnenen Erkenntnisse profitieren. Casey: „AI wird in die alltäglichen Prozesse und Abläufe eingebettet.“ Ähnliches hat man schon bei Salesforce Einstein AI beobachtet. Ein KI-Modell kann nicht losgelöst von seinem Kontext (dem LLM-Domain-Wissen) arbeiten, sonst liefert es falsche Ergebnisse.

Neue AIOps-Funktionen

Mit den unten aufgeführten eingebetteten KI-Lösungen sollen Unternehmen präzisere Alarme auslösen und ihre digitale Resilienz erhöhen können:

Mit nur wenigen Klicks biete die Splunk App for Anomaly Detection SecOps-, ITOps- und Engineering-Teams einen optimierten End-to-End-Workflow zur vereinfachten und automatisierten Anomalieerkennung in ihrer Umgebung.

Die IT Service Intelligence (ITSI, Version 4.17) zeichne sich durch eine höhere Erkennungsgenauigkeit und eine kürzere Time-to-Value aus: Outlier Exclusion for Adaptive Thresholding erkenne anormale Datenpunkte oder Ausreißer (so etwa Netzwerkunterbrechungen oder Ausfallspitzen) und schließe sie aus, um präzisere dynamische Schwellenwerte für die genauere Erkennung in der eigenen Technologieumgebung zu erreichen.

Die neue ML-gestützte Schwellenwertvorschau (ML-Assisted Thresholding Preview) in ITSI 4.17 nutze historische Daten und Muster, um mit nur einem Klick dynamische Schwellenwerte zu erstellen, die zu einer genaueren Warnung über den Zustand der Technologieumgebung eines Unternehmens beitragen.

Verbesserte Anomalieerkennung

Mithilfe der ML-gestützten Basisangebote können laut Casey Unternehmen durch die Erweiterung von Lösungen, die auf der Splunk-Plattform basieren, auf große, reichhaltigere Informationsmengen zugreifen und so datengesteuerte Entscheidungen treffen:

Das Splunk Machine Learning Toolkit (MLTK) biete in der neuen Version 5.4 Nutzern aller Erfahrungsstufen einen geführten Zugang zur ML-Technologie und sei mit über 200.000 Downloads eine der am häufigsten heruntergeladenen Apps auf dem App-Marktplatz Splunkbase. Durch die Nutzung von Techniken wie Prognosen und vorausschauende Analysen gewönnen SecOps-, ITOps- und Engineering-Teams umfassendere ML-gestützte Erkenntnisse. Das neue Update baue auf der offenen, erweiterbaren Struktur von Splunk AI auf und ermögliche es Kunden, ihre extern trainierten Modelle in Splunk einzubringen. Diese Funktion erlaubt es KI-Nutzern, zahlreiche frei verfügbare Algorithmen und vortrainierte Machine-Learning-Modelle (sog. „Function Models“) heranzuziehen, um schneller Ergebnisse zu erzielen.

Die Splunk App for Data Science and Deep Learning (DSDL) 5.1 sei ab sofort auf Splunkbase verfügbar. Sie erweitere das MLTK und biete Zugriff auf zusätzliche Data Science Tools, um fortschrittliche benutzerdefinierte Machine-Learning- und Deep-Learning-Systeme in Splunk zu integrieren. Casey: „Diese Version enthält zwei KI-Assistenten, mit denen Kunden LLMs nutzen können, um Modelle mit ihren domänenspezifischen Daten zu erstellen und zu trainieren, um die Verarbeitung natürlicher Sprache zu unterstützen.“

Splunk AI optimiere solche domänenspezifische Large Language Models (LLMs) und ML-Algorithmen, die auf Sicherheits- und Observability-Daten aufbauen. Dadurch würden SecOps-, ITOps- und Engineering-Teams für strategischere Aufgaben freigestellt, die Produktivität gesteigert und Kosten gesenkt. „In Zukunft will Splunk bei der Integration von KI in seine Plattform offen und erweiterbar bleiben, sodass Unternehmen die KI-Modelle von Splunk erweitern oder eigene und Drittanbieter-Tools nutzen können“, versicherte Casey.

Im Laufe des letzten Jahres habe das Splunk Threat Research Team sechs ML-gestützte Erkennungen zu Splunk Enterprise Security durch die Splunk Enterprise Security Content Updates (ESCU) hinzugefügt. Das erleichtere Sicherheitsexperten den Umgang mit zeitkritischen Sicherheitsbedrohungen und Angriffsmethoden.

KI-Ausrichtung

„Das Ziel von Splunk ist es, eine sicherere und resiliente digitale Welt zu schaffen. Dazu gehört auch der transparente Einsatz von KI“, so Min Wang, CTO bei Splunk. „Wir glauben, dass sowohl KI als auch ML einen großen Mehrwert in den Bereichen Sicherheit und Observability bringen werden, indem sie Unternehmen dabei unterstützen, Anomalien automatisch zu erkennen und ihre Aufmerksamkeit darauf zu richten, wo sie am dringendsten benötigt wird.

Unsere Innovationen rund um Splunk AI bieten domänenspezifische Sicherheits- und Observability-Einblicke, um die Erkennung, Untersuchung und Reaktion zu beschleunigen. Gleichzeitig wird sichergestellt, dass Kunden die Kontrolle darüber behalten, wie KI ihre Daten nutzt.“ Im Unterschied zu IBMs watsonx-Plattform lässt Splunk AI keine Ausrichtung auf Business-Zwecke erkennen. Vielmehr erhöht Splunk AI den Nutzwert der hauseigenen Security and Observability Platform. Das dürften die Splunk-Kunden zu schätzen wissen.