Elastic Stack 7.7.0 重磅发布
本博文中提及的 Elastic SIEM 解决方案现在称为 Elastic Security。Elastic Security 解决方案范围更广,可提供 SIEM、端点安全、威胁搜寻、云监测等功能。如果您正寻找 Elastic Security 应用至 SIEM 用例的特定信息,请访问 SIEM 页面。
我们非常高兴地宣布 Elastic Stack 7.7 版正式发布了。与大部分 Elastic Stack 版本一样,7.7 中也推出了大量更新。但最让我们感到骄傲的并不是这些新功能,而是成功开发出这些功能的团队。在平常时候,推出这样一个包含丰富功能的版本已实属不易。鉴于我们目前所处的充满不确定性的时代,这一版本则具有更加特殊的意味。这是对我们作为一个团队、一家公司的re的考验,凸显了我们持续向用户和客户提供价值的不懈专注。
7.7 中有很多能让您兴奋不已的更新。Workplace Search 现推出正式版,针对您的全部工作内容提供现代风格的统一搜索体验。Elastic Stack 还推出了经过完全重新构想的告警框架,此框架能够为您在整个 Kibana 中带来崭新的告警体验。Elastic APM 添加了服务地图,通过提供有关服务间互联状况的清晰视图,深化了系统可观测性。Elastic SIEM 则推出了嵌入式案件管理工作流,包括与 ServiceNow 的集成。而且,这些仅是本版本亮点中的一小部分而已。
Elastic Stack 7.7 版本已在 Elastic Cloud 上的 Elasticsearch Service(唯一提供这些新功能的托管型 Elasticsearch 产品)中推出。或者,您也可以下载 Elastic Stack 进行自我管理。
闲言少叙,下面就是本版本的一些亮点。
重新构想的 Elastic Stack 告警功能
我们坚信对 Elastic Stack 数不清的用例而言,告警功能都是基石。无论您需要跟踪应用的运行状态,监测响应时间 SLA,还是寻找攻击者,告警都是一项关键工具,能够帮助您检测问题并采取行动。我们十分兴奋地在 Kibana 7.7 中向您推出崭新的告警系统。我们致力于在整个 Kibana 中打造一流的告警体验,该框架便是我们在此过程中迈出的重大一步。我们去年便列出了实现方法,但理念其实十分简单:无论用户在哪里,每个解决方案(也就是 Kibana 中的每个应用)都应该能够针对用户的上下文和用例提供告警工作流。而且每个应用都应可以使用任何预定义的行动或通知机制。所以,基于这个目标,我们从头构建了告警系统。
我们在 Kibana 7.7 中各处都可以看到这一努力的成果。在 Kibana 的 Management 应用中,我们提供了完整的告警管理 UI 和强大的新告警界面集合。但是,大部分用户将会通过我们的某项解决方案来体验告警功能。Elastic SIEM 中的 SIEM 检测引擎如今支持在发生符合规则的事件时通过告警功能发送通知。Elastic 可观测性将紧密集成的警报体验直接引入到 Metrics,APM 和 Uptime 应用程序中。在 Metrics 中,您可以从 Metrics Explorer 视图轻松创建告警,从而在基础设施发生变动时触发提醒。在 APM 中,您可以设置规则来采集各种信息,例如交易时长的变化,或者任何服务错误率的骤升。借助 Uptime,当所监测服务的状态发生变化时,可以轻松创建告警。
新的告警框架还专注于让告警实现更多功能,而不仅仅是引起人们的注意。我们提供丰富的第三方集成(例如电子邮箱、Slack、PagerDuty)集合,这样您便可以通过既有的事件和案件管理工作流对这些告警采取行动。如需深入了解公测版中提供的新的告警功能,请务必查看我们关于告警功能的博文。
降低速度:异步搜索开启新方式,让您更好地权衡成本和延时
Elasticsearch 已经过优化,搜索速度飞快。然而,并非所有用例都一直需要实现快速搜索,也并非所有类型和数量的数据都有此要求。多年以来,Elasticsearch 添加了数项功能(例如热温架构以及冻结索引)来让用户灵活地在下面三者之间实现平衡:执行搜索的速度、单次可以搜索的数据量,以及这些用例所用支持硬件的成本。在这些工作的基础之上,Elasticsearch 7.7 添加了异步搜索功能,从而让您在搜索海量数据或者通过价格更低的存储选项降低成本时可以选择“降低速度”,同时仍能打造良好的用户体验。
借助异步搜索,您能够在后台运行可能耗时很长的查询,从而跟踪进度并检索提供的部分结果。Kibana 7.7 将会在 Dashboard 和 Discover 中使用异步搜索。例如,如果仪表板查询时间已接近 Kibana 的超时上限,用户会看到一条通知,通过这条通知他们便可忽略超时限制并继续运行仪表板直至结束。在未来版本中,我们会将异步搜索功能更紧密地集成到 Kibana 体验中,让用户一边在后台运行 Kibana 查询,一边在 Kibana 中完成其他事情。
如需详细了解异步搜索以及其他所有新功能,欢迎查看 Elasticsearch 7.7 发布博文。
Elastic 企业搜索
Workplace Search 推出正式版,让企业享受现代搜索体验
我们非常兴奋地宣布推出 Elastic Workplace Search 正式版,这一产品能够允许各种规模和种类的公司/组织为员工打造统一的搜索体验,因为员工通过同一个搜索栏就能找到与他们工作相关的全部内容。
当前,公司在越来越呈分布式的虚拟环境中开展工作,此趋势比以往任何时候都更明显。组织知识散布在大量的应用和协作工具中:Microsoft 365、Google G Suite、Salesforce、Zendesk、Google Drive、OneDrive、Dropbox、GitHub、Jira、ServiceNow、SharePoint Online、Confluence,简直不胜枚举。Elastic Workplace Search 的目标很简单:帮助公司/组织创建一种集中方式来有效利用这些庞大无序的知识。
Workplace Search 提供超级丰富的第三方集成,同时十分注重简洁性,相较于部署旧版工具所需的时间,Workplace Search 的部署时间要短很多。Workplace Search 基于强大的 Elasticsearch 构建而成,旨在帮助您为团队打造安全、个性化且高度相关的搜索体验,规模再大也不是问题。
如欲详细了解 Elastic 产品组合中的这一最新成员,欢迎查看 Workplace Search 发布博文。想深入了解企业搜索的所有其他新功能,欢迎访问企业搜索 7.7 发布博文。
Elastic 可观测性
Elastic APM 中的服务地图让您放眼全局
Elastic APM 7.7 添加了服务地图,让您通过图形视图的方式了解已插桩应用程序和它们所调用外部服务之间的依赖关系。Elastic APM 使用事务数据来确定哪些服务正在彼此对话,并基于这些数据自动创建服务地图。在当今通常充满动态变化的分布式架构中,通过图形方式实时了解各部分之间的协调情况对了解您的系统而言至为关键。
不止为您提供细枝末节。服务地图能够针对每项已插桩服务向您显示总体的关键性能指标,同时还能显示所调用任何外部服务的汇总信息,让您在全局视图和细粒度视图之间轻松切换。
服务地图可以让您方便地延伸分布式跟踪。尽管分布式跟踪能够针对特定事务就所有服务中的单独调用提供瀑布视图,但服务地图可以针对服务间的交互影响提供更加全局性的鸟瞰图。
集成!集成!集成!
Elastic 可观测性团队一直在努力不懈地达成一个使命:通过在技术领域的所有维度上提供越来越多的开箱即用型集成,简化插桩过程。该使命在7.7中得以继续,并添加了下列这些新集成:Prometheus、AWS(Lambda、Virtual Private Cloud、Amazon Aurora、DynamoDB)、Google Cloud(Pub/Sub 和负载均衡)、Azure(数据库账户和容器指标)、Pivotal Cloud Foundry、MQTT、Redis Enterprise、Istio 和 IBM MQ。欧耶!这个列表可真的不短。
要想构建具有良好可观测性的系统,插桩发挥着重大作用。正确插桩可以确保:当事件发生时,您拥有所需的全部数据来快速识别导致故障的系统组件并解决问题。插桩还能够让您创建前期预警系统,做到防患于未然。无论贵公司/组织采用什么技术,我们都希望能够让您超级轻松地收集所有层面的日志、事件和指标。
欢迎阅读 Elastic 可观测性 7.7 博文,深入挖掘所有新功能。
Elastic 安全
Elastic SIEM 中的嵌入式案件管理精简了事件响应流程
Elastic 安全 7.7 推出了嵌入式案件管理,让您的安全运维团队能够更好地控制其检测和响应工作流。现在,使用内置的案件工作流,分析师通过外部系统便可开立和更新案件,为案件添加标签和评论,以及关闭和整合案例。SOC(安全运维中心)可以在 SIEM 检测规则的基础上加入丰富的调查指南,从而为负责核实和调查潜在威胁的安全分析师提供上下文资源(例如修复建议和参考信息)。
嵌入式案件工作流可为 SOC 团队提供相关信息,让他们跟踪检测时间并生成仪表板;仪表板上可显示平均响应时间 (MTTR) 和其他安全状况 KPI。
Elastic SIEM 添加了针对 ServiceNow ITSM 的原生集成
Elastic SIEM 中新添加的案件管理功能可直接与 ServiceNow ITSM 进行集成,允许分析师将信息直接从 Elastic SIEM 转发到 ServiceNow 平台,从而实现跨组织的工单跟踪和修复流程。原生连接工具允许分析师更新案件,从而确保他们能够一直基于最新信息开展工作。
借助更多开源集成拓宽您的可见性
从整个环境中收集可操作的数据是确保组织安全的至关重要的一步。Elastic 安全 7.7 添加了与 Okta、Microsoft 365、Check Point 以及其他重要技术的数据集成,让您更轻松地获得有关完整生态系统的可见性。
欢迎查阅 Elastic 安全 7.7 发布博文了解完整详情。
篇幅有限,不胜枚举……
还有非常多的功能。请查看各产品的博文,详细了解我们在 7.7 版本中添加的所有新功能:
Elastic Stack
解决方案