Elastic повідомила про випуск релізу Elastic Stack 7.6
Elastic повідомила про випуск релізу Elastic Stack 7.6
Elastic повідомила про випуск релізу Elastic Stack 7.6, де суттєві оновлення торкнулися функцій інформаційної безпеки(ІБ). До системи додано близько сотні політик та правил ІБ, націлених на виявлення так, що реалізують базу знань тактик та методів зловмисників MITRE ATT&CK.
Основні зміни у версії 7.6 продукту, зазначені розробником:
- Збільшено швидкість обробки пошукових запитів, відсортованих за датою або іншим полем типу «довге ціле»: у 15 разів згідно з бенчмарком Lucene. Для цього використано технологію Black-Max WAND. Однак запити з використання агрегацій не отримують приросту продуктивності через особливості пошукового двигуна.
- Пророблено алгоритм машинного навчання для збільшення простоти його використання користувачем (юзабіліті). Основною метою було спрощення використання таких технік, як класифікація та регресія. Аналітик безпеки може штатними засобами Elasticsearch побудувати модель виявлення ботів, використовуючи класифікацію, а потім, використовуючи процесор машинного навчання та логічного висновку, виявити та маркувати аналізований трафік за приналежністю до бота.
- У компоненті Elastic SIEM представлено оновлення двигуна, що дозволяє знижувати час розслідування інциденту Mean Time to Detect (MTTD) – важливий параметр функціонування SOC. Зокрема, підготовлено близько 100 готових правил детектування методів та тактик атак згідно з базою MITRE ATT&CK, проведено ранжування за рівнями ризику та пріоритету, що сприяє виділенню найважливіших подій. Elastic назвав результати детектування кореляційного двигуна «Signals», саме так називається кореляційний двигун, розроблений більше 2 років тому в платформі AngaraCyber Resilience Center (SOC ACRC).
- У компоненті класу Endpoint Detection and Response (EDR) – Elastic Endpoint Security, на основі движка Endgame – покращено моніторинг безпеки Windows-машин, найчастішої мети кіберзловмисників. Включено правила детектування для перехоплення клавіатурного введення, завантаження шкідливого коду в процеси. На думку розробника, хорошим доповненням, що дозволяє технології конкурувати з поширеним Sysmon та аналогами, є інтеграція цих правил з автоматичною відповіддю (automated responses), наприклад, відключенням процесу (kill a process).
- Поліпшено інтеграцію з хмарними сервісами Amazon Web Services (AWS) в частині контролю білінгу і Google Cloud Platform (GCP), зокрема з CloudTrail.
Продукти Elastic використовуються як окремі двигуни багатьох SIEM і SOC рішень. Оновлення привнесуть поліпшення системи SOC при своєчасному переході на оновлені версії, стверджує розробник.
