Lançamento do Elastic Security 7.6.0
As soluções Elastic Endpoint Security e Elastic SIEM mencionadas neste post agora se chamam Elastic Security. A solução Elastic Security mais ampla oferece segurança de endpoint, SIEM, detecção de ameaças, monitoramento de nuvem e muito mais.
O Elastic Security 7.6 baseia-se nos pontos fortes do Elastic Endpoint Security e do Elastic SIEM para oferecer visibilidade incomparável e proteção contra ameaças por meio de uma interface unificada. Esta versão automatiza a detecção centralizada de ameaças no app do SIEM e aprimora os recursos de detecção de endpoint em hosts Windows. O acesso a novas fontes de dados e melhorias em todo o app do Elastic SIEM capacita ainda mais os profissionais de segurança a acelerar a detecção e a resposta. Vamos ver em detalhes o que há de novo no Elastic Security 7.6.
Aproxime-se do tempo de permanência zero com um novo mecanismo de detecção de SIEM e regras alinhadas com o MITRE ATT&CK™
O Elastic Security 7.6 apresenta um novo mecanismo de detecção de SIEM para automatizar a detecção de ameaças, minimizando o tempo médio de detecção (MTTD) e liberando a sua equipe de segurança para se dedicar a tarefas de segurança que exijam intuição e habilidade humanas. Tendo o Elasticsearch em sua essência, o Elastic SIEM já acelera a investigação de segurança, baixando o tempo de horas para minutos. Esse novo recurso de detecção automatizada reduz ainda mais o tempo de permanência ao expor ameaças que, de outra forma, passariam despercebidas.
A Elastic também está lançando um conjunto inicial de quase cem regras prontas para uso, alinhadas com a base de conhecimento ATT&CK para expor sinais de ameaças que muitas vezes são ignorados por outras ferramentas. Criadas e mantidas pelos especialistas em segurança da Elastic, essas regras detectam automaticamente as ferramentas, táticas e procedimentos indicativos de atividade de ameaça e serão atualizadas continuamente para lidar com novas ameaças. As pontuações de risco e gravidade associadas aos sinais gerados pelo mecanismo de detecção permitem que os analistas façam a triagem dos problemas rapidamente e depois voltem sua atenção para tarefas de maior valor.
“A Elastic ajudou nossa equipe de segurança a se concentrar no que é importante, equipando-nos com as ferramentas necessárias para fazer buscas em milhões de logs com eficiência e reduzindo o número de alertas a um volume que nossa equipe de segurança consegue gerenciar”, disse Maxim Verreault, gerente de segurança da Skytech Comunicações. “Com o lançamento da versão 7.6, as regras de detecção de sinal prontas para uso no Elastic SIEM nos permitem automatizar a análise em todos os nossos dados de observabilidade, bem como detectar ameaças e responder a elas no momento em que ocorrem. O Elastic Security 7.6 também oferece uma ótima maneira de a comunidade se conectar, pois nós, o pessoal da segurança, poderemos compartilhar regras personalizadas de detecção de sinais para que todos possam se beneficiar e detectar novas ameaças emergentes.”
As regras operam com dados compatíveis com Elastic Common Schema (ECS) coletados de sistemas Windows, macOS e Linux, e também com informações de rede de outras fontes. As equipes de segurança têm a opção de criar ou personalizar regras, mas nunca deverão precisar reescrevê-las para novas fontes de dados compatíveis com ECS adicionadas ao seu ambiente.
As regras de detecção de ameaças do Elastic SIEM integradas são desenvolvidas e mantidas pelos especialistas em segurança da Elastic e complementam tanto os trabalhos de detecção de anomalia orientados por machine learning do app do SIEM quanto as proteções baseadas em host do Elastic Endpoint Security. Falando nisso...
Obtenha visibilidade sem precedentes dos endpoints com Windows
O Elastic Security 7.6 oferece níveis sem precedentes de visibilidade e proteção de sistemas Windows, que estão entre os principais alvos de ataques devido à sua onipresença e ao modelo pouco rigoroso de permissões de usuário. Esta versão aprofunda a visibilidade da atividade do Windows, coletando e enriquecendo de forma resiliente dados de locais tradicionalmente vulneráveis às técnicas de evasão das ameaças avançadas.
Novas detecções prontas para uso aproveitam esses dados para identificar tentativas de capturar entradas do teclado, carregar código mal-intencionado em outros processos e muito mais. Os profissionais podem combinar eventos gerados por essas regras de detecção com respostas automatizadas (por exemplo, eliminar um processo) para contar com prevenção em camadas. A combinação dessa visibilidade e proteção com os recursos existentes de prevenção, detecção e resposta para sistemas macOS e Linux fornece aos usuários do Elastic Endpoint Security proteção completa em todo o ambiente.
Reduza o MTTD vendo rapidamente o que mais importa
A nova página Overview do app do Elastic SIEM e melhorias mais amplas do fluxo de trabalho possibilitam que os profissionais de segurança busquem e investiguem ameaças rapidamente. Os usuários podem entrar em uma investigação abrindo uma linha do tempo, visualizando os sinais de detecção mais recentes e analisando alertas de fontes externas como Elastic Endpoint Security, Palo Alto Networks, Suricata, Zeek e outras. Em qualquer ponto no app do SIEM, você nunca está a mais de um clique de distância dos recursos integrados de detecção de ameaça e anomalia.
Os analistas também podem aumentar a conscientização operacional com novos histogramas de eventos, alertas e sinais, bem como explorar as visualizações Hosts e Network novas e aprimoradas para obter análises mais especializadas.
Fique de olho nas suas aplicações
O Elastic SIEM agora também fornece visibilidade dos dados de HTTP, permitindo que você visualize os dados do Elastic APM diretamente no app do SIEM. Vários módulos Beats prontos para uso fornecem acesso a dados de HTTP adicionais compatíveis com ECS, possibilitando inspecionar e visualizar facilmente todas as transações da Web em uma visualização unificada. Explore e veja o que você pode encontrar — e lembre-se também de deixar seus amigos de DevOps darem uma olhada em breve.
Monitore seus dados na nuvem
Estamos simplificando ainda mais a ingestão de dados no Elastic Stack para visualização e análise centralizadas. A versão 7.6 introduz suporte para dados do AWS CloudTrail e aprimora o suporte para o Google Cloud Platform, fornecendo visibilidade essencial da superfície de ataque da atualidade. Os dados no formato CEF, sejam da nuvem ou de qualquer outro lugar, também estão mais fáceis de visualizar do que nunca, graças ao nosso módulo de CEF atualizado para o Filebeat.
Comece hoje mesmo
Quer ver como é o Elastic SIEM? Experimente a nossa versão mais recente no Elasticsearch Service no Elastic Cloud ou uma demonstração do Elastic SIEM. Já está com dados formatados para ECS no Elasticsearch? Basta atualizar para a versão 7.6 do Elastic Stack para começar a busca.