Splunk ES to dodatkowy moduł do rozwiązania Splunk Enterprise realizujący funkcje systemu klasy SIEM. Posiada wbudowane i gotowe do użycia pulpity nawigacyjne, schematy wyszukiwań oraz korelacji a także predefiniowane raporty. Aplikacja może pracować zarówno w sieci lokalnej, środowisku wielochmurowym jak i w modelu SaaS z wykorzystaniem chmury Splunk Cloud. Bez względu na model wdrożenia Splunk Enterprise Security zapewnia kompleksowy i spójny obraz monitorowanego środowiska dostarczając dane zarówno na potrzeby działów bezpieczeństwa, jak i kierownictwa firmy.

• Analiza zagrożeń - Splunk ES prezentuje szereg wskaźników pozwalających określić stan bezpieczeństwa całego środowiska z uwzględnieniem informacji o taktykach i technikach wykorzystywanych przez intruzów.
• Reagowanie na incydenty - Wbudowane workflowy ułatwiają zarządzanie procesem identyfikacji i obsługi incydentów, w tym przekazaniem odpowiednich informacji na potrzeby dalszej analizy lub informatyki śledczej. 
• Monitorowanie aktywności użytkowników - wykorzystując zarówno dane o tożsamości użytkowników, jak i informacje pochodzące z procesu uwierzytelniania ostrzega o podejrzanych zachowaniach i naruszeniach reguł korporacyjnych, norm i przepisów prawa.

• Zbieranie danych z logów – Splunk gromadzi i analizuje wszystkie zapisy zdarzeń prezentując kompleksowy stan zabezpieczeń w czasie rzeczywistym. Pozwala to zespołom zajmującym się IT i bezpieczeństwem zarządzać logami z jednej centralnej lokalizacji, korelować dane (w tym dane historyczne) z wielu urządzeń oraz wykorzystać do analizy dane z innych źródeł (takich jak zmiany rejestru i logi ISA Proxy).
• Stosowanie reguł korelacji w czasie rzeczywistym – analiza sekwencji zdarzeń ułatwia zbadanie wielu zdarzeń związanych z bezpieczeństwem i zawężenie działań do obszarów tych, które faktycznie mają znaczenie dla funkcjonowania organizacji.
• Analiza predykcyjna - wykorzystanie technik uczenia maszynowego umożliwia wykrycie wzorców na podstawie danych historycznych oraz wykorzystania ich na potrzeby przewidywania i identyfikacji potencjalnych zagrożeń.
• Przechowywanie danych historycznych - Splunk przechowuje dane historyczne danych z logów przez długi okres. Pomaga spełnić wymagania dotyczące zgodności z przepisami powszechnie obowiązującego prawa. Dostęp do historycznych danych maszynowych umożliwia analitykom przeprowadzanie analiz bezpieczeństwa związanych z przeszłymi przestępstwami, na przykład w celu śledzenia trasy ataku.
• Wyszukiwanie i raportowanie ustrukturyzowanych danych – Splunk ES umożliwia stworzenie dowolnych modeli danych. Wyniki analiz i wyszukiwań mogą być następnie zapisane w formie raportów i tabeli przestawnych, wykorzystywane do konfigurowania alertów oraz prezentowane na pulpitach nawigacyjnych.
• Wyszukiwanie i raportowanie nieustrukturyzowanych danych - Splunk ES może zostać zasilony danymi surowymi niemal z każdego źródła. Dane te można wykorzystać w analizach i raportach dystrybuowanych bezpośrednio z platformy SIEM do odpowiednich osób.
• Przetwarzanie danych kontekstowych – analizy uwzględniające kontekst ograniczają liczbę fałszywych alarmów i ułatwiają priorytetyzację. Splunk ES jest w stanie dodać kontekst do analizy zagrożeń zewnętrznych, wewnętrznych operacji IT i wzorców zdarzeń.