Elastic stellt neue Funktionen vor, mit denen Kunden das Potenzial ihrer Daten effizient ausschöpfen können

Die neue Version bietet eine Vielzahl neuer Features, wie z. B. Schema-on-Read, damit Kunden schneller wertvolle Erkenntnisse aus ihren Daten gewinnen können, eine neue Datentier für „eingefrorene“ Daten, die das kostengünstige und beinahe unbegrenzte Speichern vollständig durchsuchbarer Daten in Objektspeichern ermöglicht, sowie die automatische Skalierung von Deployments in Elastic Cloud.

Nutzer von Elastic Enterprise Search profitieren von einer Reihe von Architekturoptimierungen, die geringere Deployment-Größen, schnelleres Indexieren und relevantere Ergebnisse möglich machen. Elastic Observability verfügt jetzt über eine Korrelationsfunktion, die Nutzern dabei hilft herauszufinden, wer oder was für Fehler und Probleme mit der Anwendungsperformance verantwortlich ist, und in Elastic Security optimieren analystengesteuerte Korrelationen die SecOps-Workflows.

Zu den wichtigsten Neuigkeiten im Elastic Stack, Elastic Cloud und den Elastic-Lösungen gehören:

Elastic Stack und Elastic Cloud 7.12

Mit dem Feature „Schema-on-Read“, das jetzt allgemein verfügbar ist, können Nutzer in Elasticsearch, Kibana und Elastic Cloud 7.12 Daten schnell ingestieren und flexibel erkunden. Damit entfällt die Notwendigkeit, sich zwischen der Geschwindigkeit und Skalierbarkeit von Schema-on-Write und der Flexibilität von Schema-on-Read entscheiden zu müssen – beide Ansätze können parallel und auf demselben Elastic Stack genutzt werden. 

In Erweiterung der Innovationen, die rund um die allgemeine Verfügbarmachung von durchsuchbaren Snapshots in Elastic 7.11 bekanntgegeben wurden, bietet die neue Datentier für „eingefrorene“ Daten, derzeit im Stadium einer „Technical Preview“, ein optimales Sucherlebnis und die Möglichkeit, nahezu unbegrenzt in historischen Daten recherchieren zu können, ohne dass dies die TCO in die Höhe treibt. Mit der Datentier für „eingefrorene“ Daten können Kunden Rechenressourcen von Speicherressourcen trennen und kostengünstig in Amazon S3, Google Cloud Storage und Microsoft Azure Storage und anderen Objektspeichern archivierte Daten direkt durchsuchen. So lassen sich große Mengen von Daten auf kostengünstigen Speichern aufbewahren, wobei der Kunde im Gegenzug mit weniger für die Suche reservierten Ressourcen und damit mit einer geringeren Geschwindigkeit auskommen muss. Bessere Benutzeroberflächenfunktionen für das Konfigurieren der Datentier für „eingefrorene“ Daten in Elastic Cloud sind bereits in Arbeit – sie werden in naher Zukunft verfügbar sein.

Außerdem bietet die Version 7.12 eine neue Funktion zur Durchführung von Suchen im Hintergrund, mit der Nutzer weiter Daten analysieren können, während länger dauernde Suchen im Hintergrund weiterlaufen. Zu den Kernversprechen der Elastic-Technologie gehört es, dass Nutzer selbst in riesigen Datenmengen die sprichwörtliche Nadel im Heuhaufen finden. Dazu sind mitunter länger dauernde Suchen in Discover oder in einem Kibana-Dashboard erforderlich, die jetzt in den Hintergrund verlegt werden können. Über die neuen Funktionen zur Verwaltung von Such-Sessions können sich die Nutzer jederzeit einen Überblick über den Stand der Suche verschaffen. 

Elastic bietet jetzt auch erweiterte Unterstützung für die automatische Skalierung an. Kunden können so ihre Speicherplatznutzung und Machine-Learning-Funktionen überwachen, Ressourcen anpassen und die Performance aufrechterhalten lassen – alles automatisch. Mit der Einführung der automatischen Skalierung erfüllen wir einen besonders häufig vorgebrachten Wunsch der Elastic-Community. Das Feature bietet Kunden eine Art Sicherheitsnetz, das es ihnen erlaubt, ihre wichtigen Geschäftsanwendungen auszuführen und gleichzeitig die Knotenperformance aufrechtzuerhalten und unerwartete Kosten zu vermeiden.

Durch die Unterstützung neuer Instanztypen in Elastic Cloud profitieren Kunden von mehr Flexibilität und einem besseren Preis-Leistungs-Verhältnis. Elastic hat Ls-Serien-Instanzen in den Microsoft Azure-Regionen „UK South (London)“ und „Japan East (Tokyo)“ sowie D3-Instanzen in den AWS-Regionen „AWS EU (Ireland)“, „US East (N. Virginia)“, „US East (Ohio)“ und „US West (Oregon)“ hinzugefügt. Diese Instanzen bieten eine hohe Performance bei gleichzeitig deutlich reduzierten Kosten.

Elastic Enterprise Search

Elastic Enterprise Search 7.12 bietet eine komplett überarbeitete zugrundeliegende Datenarchitektur, die geringere Deployment-Größen, schnelleres Indexieren und relevantere Ergebnisse ermöglicht und Kunden so mehr Wert bietet. Die neue Architektur optimiert das zugrundeliegende Indexmanagement mit dem Ziel, Datenduplikation zu vermeiden, und stellt eine neue Mapping-Konfiguration bereit, die für eine höhere Suchgenauigkeit sorgt, ohne dass dies zulasten der in modernen Suchfunktionen unabdingbaren Schreibfehlertoleranz führt. Kunden können eine bis zu 70 % höhere Speichereffizienz, eine um bis zu 40 % geringere Indexierungslatenz und signifikante Verbesserungen bei der Relevanz in App Search und Workplace Search erwarten.

Elastic Observability

Elastic Observability 7.12 bietet eine neue Korrelationsfunktion in Elastic APM, mit der Kunden aussagekräftige Muster in langsamen Anwendungstransaktionen finden und die Ursachenanalyse beschleunigen können. Elastic APM führt eine neue Funktion ein, die Anwendungstransaktionen mit hohen Latenzen und Fehlern analysiert und automatisch Faktoren wie Serviceversion und Infrastruktur-Metadaten zutage fördert, bei denen eine enge Korrelation mit den unterdurchschnittlich performenden Transaktionen festzustellen ist. Das ermöglicht es Nutzern, sich im Rahmen von reaktiven Troubleshooting-Workflows schnell an die Ursache der schlechten Performance heranzutasten und so die mittlere Zeit bis zur Problemlösung zu verkürzen. Außerdem stärkt die Funktion den proaktiven Workflow, indem sie Anwendungseigentümern dabei hilft, verbesserungswürdige Bereiche aufzuspüren und kontinuierlich das Nutzungserlebnis zu verbessern.

Elastic Security

Die in Elastic Security 7.12 erstmalig verfügbare analystengesteuerte Korrelation („Analyst-driven Correlation“) ist ein hilfreiches Tool für Datenpraktiker, deren Aufgabe es ist, aus Daten Informationen und Erkenntnisse zu gewinnen. Security-Analysten können das Threat-Hunting und die Untersuchung beschleunigen und so mit der Geschwindigkeit von Elasticsearch aussagekräftige Daten ans Tageslicht bringen. Auf diese Weise können sie bei ihren Threat-Hunting- und Untersuchungsaktivitäten gezielter vorgehen. Der Nutzer profitiert von zuverlässigeren Erkennungen auf der Basis der Ergebnisse der Analystenarbeit bei diesen Untersuchungen.

Bei der analystengesteuerten Korrelation kommt mit EQL (Event Query Language) die Technologie zum Einsatz, die auch hinter der Korrelation in der Elastic Security-Erkennungs-Engine steckt. Während in der Vergangenheit alle Versuche, das Threat-Hunting und die Untersuchung zu beschleunigen, durch lange Reaktionszeiten ausgebremst wurden, können Analysten dank der Möglichkeit, Korrelationen auf die verschiedensten Bestände historischer Daten anzuwenden, innerhalb weniger Minuten Schlüsselerkenntnisse über Angriffe gewinnen, selbst wenn diese besonders geduldig und ausgefeilt sind. Security-Teams profitieren von mehreren Erkennungs- und Untersuchungsmethoden für eine breite Palette von Security-Anwendungsfällen. Die Kombination aus EQL-basierten Korrelationen und ML-basierten Erkennungsalgorithmen, Erkennungsregeln, die mit Indikatorabgleich funktionieren, und Drittanbieterkontext auf Cloud-Ebene schafft die Grundlagen für eine umfassendere Security-Strategie.

Neu in Elastic Security ist auch die Verhaltensanalyse im Elastic Agent, mit der eine zusätzliche Ebene zum Schutz vor Ransomware eingezogen wird. In Ergänzung der in Elastic Security 7.9 eingeführten signaturlosen Anti-Malware-Maßnahmen erkennt und stoppt der verhaltensorientierte Ransomware-Schutz im Elastic Agent Ransomware-Angriffe auf Windows-Systeme, indem er Daten aus Low-Level-Systemprozessen analysiert. Er ist bei einer ganzen Reihe von verbreiteten Ransomware-Familien effektiv, einschließlich derer, die auf den Master Boot Record des Systems abzielen.

Zitate zur neuen Version:

• „Je größer der Umfang der Observability-Anwendungsfälle wird, desto schwieriger wird es, genau vorherzusagen, wie alle Nutzer beabsichtigen, mit Daten zu interagieren“, so Wes Connell, Security Engineering Lead, Uber. „Durch die Flexibilität von Laufzeitfeldern erhalten unsere Nutzer eine hilfreiche Lösung an die Hand, die so dynamisch ist wie ihre datengestützten Fragen.“
• „Schema-on-Read versetzt uns in die Lage, asynchrone Suchen in großen Mengen von Security-Daten zu starten, um mehr Angriffe finden zu können“, so Robert Cooper, VP of Security, Anitian. Und Ian Godfrey, Senior DevOps Engineer bei Anitian, fügt hinzu: „Mit Schema-on-Read und Laufzeitfeldern können wir schneller auf Änderungen bei den Daten reagieren, die wir von externen Security-Tools erhalten, ohne dazu unsere bestehenden Daten aufwendig neu indexieren zu müssen.“
• „Bei Elastic dreht sich alles um die suchegestützte Datenerkundung, damit Nutzer aus der Gesamtheit ihrer Daten Erkenntnisse gewinnen können. Ob Threat-Hunting in Elastic Security oder ausgefeilte Korrelationen zur Diagnose von Problemen mit der Anwendungsperformance in Elastic Observability – mit Elastic können Nutzer Datensilos aufbrechen und alle ihre Daten und Anwendungen durchsuchen, beobachten und absichern“, so Ash Kulkarni, Chief Product Officer, Elastic. „Mit der Version 7.12 werten wir diesen suchegestützten Prozess durch mehr Flexibilität und geringere Gesamtbetriebskosten weiter auf.“