Elastic Stack 7.4.0 重磅发布
我们非常兴奋地宣布推出 Elastic Stack 7.4 正式版。我们在 7.4 版本中推出了数项新功能,这些新功能可以简化集群的管理和操作,引入了新的聚合和 Machine Learning 功能,而且还深入拓展了堆栈的安全体验。在解决方案方面,Elastic SIEM 为地理空间分析添加了实时地图,而且推出了 13 项预定义 Machine Learning 作业以检测出单独使用规则无法确定的大量安全威胁,这些都有助于改善安全操作工作流。
7.4 版本已在我们的 Elasticsearch Service on Elastic Cloud(唯一提供这些新功能的托管型 Elasticsearch 产品)上推出。或者,您也可以下载 Elastic Stack 进行自我管理。
完整功能描述详见各自的博客文章,我们在这里仅会简要介绍一下版本亮点。
快照生命周期管理 — 数据备份从未如此轻松
快照/恢复是对 Elasticsearch 中的数据进行备份(和恢复)的最佳方法,在几乎所有生产部署中都是至关重要的一部分。在 7.4 中,我们推出了快照生命周期管理,通过这一功能,管理员能够定义相关政策来管理截取快照的时间和频率。这可以确保因灾难或其他原因而需要恢复数据时,可以使用最近的恰当备份。
结合在 6.7 中推出的索引生命周期管理功能,快照生命周期管理可以大大简化生产集群的操作。将这些功能构建为 Elastic Stack 原生功能后,管理员能够减少对外部工具和 Cron 作业的依赖性,获得可靠性能和可见性,并专注于定义对业务十分重要的数据保护政策。尽管一贯秉承 API 优先的构建原则,但我们也非常欣喜地针对快照生命周期管理提供了一个管理 UI(位于 Kibana 中的快照和恢复界面内)。
有关完整详情,请参见 Elasticsearch 博客文章。
Elastic Maps 和 Elastic SIEM — 专门为分析师设计的 Pew Pew 地图
网络攻击地图(亦称为 Pew Pew 地图(让人联想到星球大战中的枪声音效))通常用来在参观数据中心的过程中吸引人们的眼球和兴趣。在 7.4 版本中,SIEM 应用程序推出了基于实时数据的 Pew Pew 地图,让分析师能够进行实时搜索、筛选和探索。尽管这样的地图在参观时十分惊艳,但这实际上是安全分析师的一项工具。在 Elastic SIEM 中,位置变成了另一种普通属性,可用来提供可见性并提高人们对网络状况的认识。
“自从采用这种方法,我们向 Elastic Stack 中采集的日志数据源越来越丰富多样了。我们的安全团队目前可以在 Kibana 中对全部安全相关数据进行搜索和可视化,从而有效地进行交互式调查。”Leaseweb Global B.V. 的 IT 安全经理 Wieger van der Meulen 说道,“此外,Elastic Stack 的 Machine Learning 功能可以让我们自动检测基础设施中的异常行为。随着集成到 SIEM 应用程序 7.4 版本中的 Machine Learning 作业集合实现扩展,我们期待着能够启用更加全面的异常检测集合。 通过采用 Elastic SIEM,我们能够以快得多的速度响应安全事件,并采取正确的缓解措施。”
由于这一功能直接基于 Elastic Maps 构建而成,所以它充分利用了我们在地理空间分析和搜索功能方面多年来的巨大投入。Elastic Maps 7.4 中的另外一项新功能是点到点连线,通过此项新功能您能够轻松地对数据间的联系进行可视化。通过将 Elastic Maps 直接嵌入到 SIEM 应用程序中,我们展示了新的点到点功能,而且用户社区还会继续受益于 Elastic Maps 中持续更新的改善功能。
Machine Learning 学会新技巧
我们在 7.3 中推出了数据转换,让用户能够瞬间对 Elasticsearch 数据进行透视,并获得以实体为中心的索引。此转换功能(像变形金刚一样!)是一系列崭新的分析和 Machine Learning 方法(例如异常检测、回归分析、分类等等)的基石。在 7.4 版本中,通过添加回归分析 API 和向 Machine Learning 中添加异常检测 UI,我们实现了这一愿景,对此我们感到十分兴奋。
我们在 Kibana 内的 Machine Learning 应用中添加了崭新的 Analytics(分析)标签页,以便您能够创建、管理并查看不合要求的检测作业。
“Elastic 的 Machine Learning 对我的团队而言至关重要,因为它就像一个强大的能力提升工具,让我们能够处理比过去多得多的数据。”PSCU 的欺诈情报经理 Jonathon Robinson 表示,“借助 Machine Learning,我们能够立刻确定欺诈活动。在几周内,我们便实现了巨大成本节约,仅上个月,便为我们的信用合作社直接节省了数百万美元。”
除了这两种新方法,我们还在 Elastic SIEM 中推出了数项(准确地说,是 13 项)崭新的开箱即用型 Machine Learning 作业,以监测网络上和 Auditbeat 所收集的主机活动数据中的常见安全威胁。示例包括检测异常进程、异常的网络端口活动,等等。
有关完整详情,请参见 Elasticsearch 博客文章。
更深入拓展可观察性的各个支柱
在 7.4 中,我们针对 Elastic APM 中的自动测量工具装载功能加大了力度,扩展了 APM 代理以便针对更常见的编程框架支持即插即用体验。最重要的一点,添加的这些内容包括 RUM 代理中的 Angular 支持以及 .NET 代理中的 .NET 框架支持,这两个代理在现有的企业应用程序中都十分常见。不仅如此,通过在 APM UI 中添加崭新的“按地理区域查看性能”细分,我们基于之前版本中引入的 RUM 地理位置数据进行构建,从而允许用户准确定位到具体地区的问题,并更快地进行故障排查。最后一点,Elastic APM UI 中的结构化筛选器可帮助分析师更快地对痕迹数据进行搜索,进而缩短解决周期时间。跳转至 Elastic APM 发布博文了解更多详情。
Elastic Stack 的每个新版本都能让您通过崭新方式自动监测关键基础设施和服务的健康程度。7.4 发布版本新增了支持服务以采集来自数项其他 AWS 服务(包括 Elastic 负载均衡器 (ELB)、Elastic 区块存储 (EBS) 和 CloudWatch Statistics)的指标,而且能直接从 Amazon Simple Storage Service (S3) 读取服务器日志。此版本还借助针对定时作业的额外指标增强了 Kubernetes 监测功能,并添加了崭新的 StatsD 模块以使用这一常见格式收集自定义指标。借助面向诸如 Oracle、Prometheus 和 Postgres 等数据存储的诸多新指标集合和经过改进的默认仪表板,数据库监测性能得以提升。最后一点,我们针对 IBM MQ 添加了日志分析,IBM BQ 在很多重要的企业型应用程序中都是至关重要的消息平台。跳转至 Elastic Infrastructure 和 Elastic Logs 发布博客了解更多详情。
Kibana 中的 PKI 身份验证
Kibana 的安全模块继续向前发展,让您可以通过崭新方式来安全地访问 Kibana。在发布令人难以置信的功能(例如 7.2 中的功能控制和 7.3 中的 Kerberos 支持)之后,我们非常兴奋地宣布为另一个用户呼声极高的身份验证机制提供支持。在 7.4 版本中,我们现在正式支持 Public Key Infrastructure (PKI) 身份验证。对于金融、医疗保健、政府和军事行业,这类加密在我们的社区内应用十分广泛。
尽管过去人们有可能通过代理将 PKI 身份验证和 Kibana 搭配在一起使用,但现在这些架构在 7.4 中可以进行简化。由于可为 PKI 身份验证提供原生支持,用户现在能够使用 X.509 客户端证书和双向加密系统登录 Kibana。这为通过大量崭新且安全的方式访问 Kibana 打开了大门。从一般的客户端证书授权到实体智能卡或身份证件访问权限,Kibana 都能满足您的需求。希望了解更多详情?查看我们的文档,了解如何开始使用。