Elastic 8.4 版为实现现代安全运营引入 SOAR

blog-thumb-release-security.png

Elastic 最先在 Elastic 安全 8.4 版中引入了 SOAR 功能,旨在赋能现代安全运营中心 (SOC),简化分析人员的操作步骤。

现代安全运营中心经常因不顾一切而面临诸多挑战。尽管安全运营的可见性和影响已经成为一个上升到董事会层面的问题,安全团队可以利用的资源仍然有限。目前数据正呈爆炸式增长,这相应也给安全团队加重了担子,使其多了一项工作,那就是保护无边界的分布式环境,同时还要对 SaaS 提供商和共享服务面临的风险进行评估。

为解决这些难题,许多组织将具有相同目标的不同团队联系起来,以便共享最佳实践和缩小技能差距。可观测性团队(负责业务应用程序的运营效率和可见性)和安全团队(负责业务应用程序的安全保障和防护)之间的壁垒表明这他们各自的领域相冲突,即共享数据、团队专业知识和共用工作流。Elastic 安全 8.4 版提供了分析人员精简运营工作流所需的工具,有助于加快威胁猎捕和修复的速度。

Elastic 安全 8.4 版新增功能

适用于现代安全运营中心的 SOAR 可成倍提升能力

前段时间,Elastic 将其承诺的开放和透明的安全性提高了一倍,而在 Elastic 安全 8.4 版中,提高的是响应能力,目的是持续减少分析人员的操作。

Elastic 8.4 版对工作流进行了改进,通过与安全编排、自动化和响应 (SOAR) 供应商双向集成,将原生响应能力和可配置警报及案件操作组合在一起。用户现在不仅可以使用与 ServiceNow、Swimlane 和 Tines 的集成,还能享受与 D3 和 Torq 建立新合作伙伴关系带来的益处。

Elastic 独特的 SOAR 方法由 Elastic Agent 提供技术支持。这项技术包含在 Elastic 安全解决方案中,有助于在数百个数据源中一键增加用例,以及管理终端和云安全防护软件。Elastic Agent 支持所有用户使用原生修复功能,并确保每个人在开启 SOAR 之旅时无需购买额外的技术。

由于有关修复的用例不断增加,团队也在要求先进的编排控制措施,用户可以使用 Elastic 安全解决方案中可自定义的编排功能,或一键与其他领先的 SOAR 供应商集成。这种用户至上的方法可跟随组织的需求改进,可为所有用户带来简单性和整合,而不必强制与供应商捆绑。

这种随业务扩展的模式通过第一方和第三方集成适用的 API 优先方法将原生的一键式操作与编排整合在一起,让客户能够简化其现有生态系统中的自动化和编排工作流以及流程。分析人员现在可以使用 Elastic 安全解决方案满足其 SOAR 需求,利用我们任一 SOAR 供应商合作伙伴来增强其编排的功能,也可以通过 Elastic 操作和我们适用于所有功能的 API 优先方法完全自定义响应体验。

我们关于 SOAR 的公开愿景反映了我们采用其他许多技术的做法,比如 Elastic Security for Endpoint,该解决方案提供终端预防和检测服务,同时支持扩展检测与响应 (XDR)。用户需要更多选择,所以我们也提供了丰富的与其他终端供应商的集成,例如 CrowdStrikeMicrosoft DefenderSentinelOne。我们所做的一切都是从社区的利益出发,即便集成的技术中有功能重合也是如此。

有许多组织都是刚接触安全编排、自动化和响应。在原生 SOAR 功能的帮助下,组织将能游刃有余地管理事件,与我们紧密集成的 SOAR 合作伙伴能够帮助组织成就更多。

专门构建的响应自动化界面

SOAR 的关键组件包括一个用于规划、构建和执行响应计划的核心工作流。Elastic 安全 8.4 版引入了一个类似于终端的界面,便于从业人员快速查看和调用响应操作,从而加快响应的速度。只需在关键分析人员工作流中点击一下即可访问,最大限度地缩短了平均响应时间 (MTTR)。

Video thumbnail

通过主机隔离(这是一项既有操作),分析人员可以快速禁用受感染系统的网络连接,以防止横向移动,同时响应方仍然能够执行分类并开展调查。8.4 版在现有的跨操作系统响应功能(Linux、macOS 和 Windows)的基础上,新增以下三个进程操作:

  • 枚举当前正在运行的进程
  • 挂起进程
  • 结束进程

新增的审计界面提供事件响应活动的完整记录,进而支持实施严格控制和生成报告。

上述功能已在 8.4 版中正式发布 (GA),可通过订阅企业解决方案在自管型和云部署中使用。后续版本将进一步扩展可用的响应操作。

Windows 主机自我修复

SOAR 的另一个核心组件是使受攻击的主机恢复到已知良好的状态。

Elastic 安全 8.4 版引入了自我修复功能,该功能通过删除系统中的攻击工件来自动执行修复。一旦发现主机上有恶意活动,自我清洁功能会自动还原攻击期间实施的更改,从而将主机恢复到攻击前的状态。在这个版本中,我们主要聚焦于还原文件更改和处理丢弃/创建的可执行文件,后续还会推出更多修复功能。

适用于 Windows 系统的自我修复模式已在 8.4 版中正式发布,可通过白金级订阅在自管型和云部署中使用。

自动警报洞察

安全分析人员花费大量精力在一个警报和环境中其他数不清的警报之间连点成面。警报量和误报共同导致了警报疲劳,再加上缺乏训练有素的专业人员,已经成为多数组织面临的一个现实问题。警报洞察是另一项新功能,能够在工作流中指导分析人员发现相关警报和案件,从而加快影响评估速度以及优化分析人员工作流和体验。分析人员只需一瞥,就能了解以下信息:

  • 以前有就这个警报开立过案件吗?
  • 从关键入侵指标来看,这个警报与其他警报是否相关?
  • 同一用户会话中基于相关警报的 Elastic 独特分组

此外,支持一键式转入 Elastic 的拖放式调查,有助于轻松执行威胁猎捕和进一步分析。

警报洞察已在 8.4 版中正式发布,可通过白金级订阅使用。

扩大 SOAR 合作伙伴关系

SOAR 通过原生和第三方 SOAR 集成为 Elastic 安全解决方案提供动力。作为对客户反馈的回应,我们即将推出来自 D3 SecurityTorq 的全新连接器,以此进一步巩固我们在第三方 SOAR 集成领域的领先地位。这些连接器支持对 Elastic 检测执行统包转发,从而实现安全编排、自动化和响应。

icon-quote

D3 与 Elastic 合作伙伴关系的建立让我们平台的用户都可以在 Elastic 和 D3 NextGen SOAR 用户界面中通过明确定义的参数轻松自动上报大量警报和触发工作流操作。鉴于其无代码的自动化操作、跨堆栈的编排方式以及无与伦比的可扩展性,D3 完全能够让 SOC 分析人员专注于现实威胁,节省通常花在处理误报和重复性工作上的时间。

D3 Security 高级合作伙伴营销经理 Amardeep Dhingra
icon-quote

我们很高兴与 Elastic 合作,共同完成一项任务,帮助当今的安全运营团队以云的速度和规模行动。通过将 Elastic 对高级威胁的全面检测和 Torq 的无代码自动化结合使用,安全团队可以缩短响应和修复的时间,同时享受前所未有的保护级别。

Torq 联合创始人兼首席创新官 Eldad Livni

增强的可定制编排

对于我们的众多集成尚未涵盖的供应商或操作,用户可以使用我们专门的界面构建自动化流程。在这里,任何 API 调用都可以构建为连接器,然后作为编排操作应用。最近发布的一个开放连接器社区,可为用户提供所需的任何自定义控件快速入门。在 Elastic 8.4 版中,我们将此功能从警报扩展到包含案件操作在内。

还有什么?

除了新增 SOAR 功能,Elastic 8.4 版还对检测工程做了几处改进,包括:

  • 轻松检测日志数据中出现的新实体:我们引入了一种新的规则类型,当在数据源中发现不熟悉的词语时会向用户发出警报。如果采集的文档中包含的字段值与指定时间窗口(即过去 7 天)内显示的不同,则此规则会生成一个警报。一旦显示的是新主机、IP 地址或用户名,即可能表示环境发生变化,或许需要执行检查。
  • 能够使用通配符扩充规则例外情况:灵活性提高/针对例外情况进行配置更加轻松。为配置例外情况引入一个新的运算符(匹配项),因此用户可以运用通配符表达式(以及进行单个字符匹配的“?”)。
  • 支持从领先的安全产品收集数据:Elastic 8.4 版在 Elastic Agent 中引入了几个全新的一键式集成,用于轻松添加、分析来自安全数据源的数据并将其可视化。新集成包括 Azure 防火墙、Cisco Identity Service Engine、Cisco Secure Email Gateway、Citrix Web Application Firewall、Mimecast、Proofpoint TAP 和 SentinelOne。Palo Alto 新一代防火墙集成也已更新,新增对 PAN-OS 10.x 及所有日志类型的支持。

如需完整列表,请参阅我们的详细发行说明

立即试用

Elastic Cloud 的现有客户能够直接从 Elastic Cloud 控制台访问其中的许多功能。如果您刚刚使用 Elastic Cloud,请查看我们的快速入门指南(助您快速入门的培训短视频),或我们的免费基础知识培训课程。您随时可以免费开始使用 Elastic Cloud 的 14 天免费试用版。或者,您也可以免费下载 Elastic Stack 的自管型版本。

欢迎阅读 Elastic 安全解决方案 8.4.0 版发行说明,了解以上功能及更多信息;此外 Elastic 8.4 版发布博文中还介绍了 Elastic Stack 的其他亮点。

本博文所描述的任何特性或功能的发布及上市时间均由 Elastic 自行决定。当前尚未发布的任何功能或特性可能无法按时提供或根本不会提供。