Elastic wurde in The Forrester Wave™: Extended Detection and Response Platforms Q2 2026 als „Strong Performer“ ausgezeichnet

Dem Bericht zufolge sind die SIEM-Ersatz-Features von Elastic besonders leistungsstark, da es umfangreiche Telemetriedaten, unter anderem vom Endpoint-Agenten, ingestiert. Security-Teams müssen in der Lage sein, Daten aus Cloud, Endpoints, Identitäten, Anwendungen und Netzwerkdaten zu korrelieren, ohne sich mit isolierten Tools herumschlagen zu müssen. Genau dafür ist Elastic entwickelt worden.

In dem Bericht wurde Flexibilität als das größte Unterscheidungsmerkmal von Elastic identifiziert. Security-Teams können Telemetriedaten aus praktisch jeder Quelle ingestieren, Erkennungen an ihre individuelle Umgebung und ihr Risikoprofil anpassen und Workflows erstellen, die sich an ihren bestehenden Prozessen orientieren, anstatt sich an starre Plattformbeschränkungen anpassen zu müssen. Erkennungsingenieure können schneller vorankommen, die Bindung an bestimmte Anbieter verringern und Sicherheitsabläufe gestalten, die zu ihrem Unternehmen passen – anstatt ihr Unternehmen dazu zu zwingen, sich an das Tool anzupassen.

Der Bericht verwies außerdem auf unsere offenen Datenformate, Kern-Engines, starke Schulungsinhalte und flexibles Datenmanagement, die stark anpassbar sind. Das ist keine Marketing- oder Vertriebssprache, sondern beschreibt, wie die Unterstützung von Elastic Common Schema (ECS), Open Cybersecurity Schema Framework (OCSF) und OpenTelemetry (OTel) in der Praxis aussieht. 

In einem Markt, der von KI-Hype geprägt ist, stellte der Forrester-Bericht zudem fest, dass Elastic ein starkes Engagement für Innovation unter Beweis gestellt hat, wobei der Schwerpunkt auf KI-Features wie „Automatic Migration“ und „Attack Discovery“ liegt.

Automatische Migration hilft Teams, Dashboards und Erkennungsregeln einfach von ihrem bestehenden SIEM in Elastic zu migrieren, ohne Regeln neu zu schreiben oder Dashboards neu zu erstellen.

Attack Discovery korreliert verwandte Warnungen und zeigt Angriffserzählungen mit höherer Zuverlässigkeit, sodass die Analysten Zeit für tatsächliche Vorfälle aufwenden, anstatt sich durch eine undifferenzierte Alarmwarteschlange zu arbeiten.

Der Endpoint-Schutz von Elastic wurde im Vergleich zu anderen Anbietern in der Wave als gleichwertig bewertet. Er basiert auf der Übernahme von Endgame und nutzt Transparenz auf Kernel-Ebene, Verhaltensprävention sowie die Erkennung von Speicherbedrohungen. 

Elastic ist der einzige Anbieter, der 14 Monate in Folge 100 % bei den Malware- und Real-World Protection Tests von AV-Comparatives erreicht hat , was eine spürbare Wirksamkeit gegen reale Angriffsszenarien belegt.

Referenzkunden erklärten gegenüber Forrester, dass sie von der Offenheit der Elastic Plattform profitieren, da diese Transparenz und Kontrolle biete. Sie berichten, dass Elastic die Liste der Integrationen stetig erweitert und dass die Analysefunktionen viele der benötigten Anwendungsfälle standardmäßig abdecken. Sie heben die Flottenverwaltung als besonders einfach hervor. 

Geschlossene Ökosysteme erzeugen Migrationsschulden. Jedes proprietäre Datenformat, jede herstellerspezifische Erkennungssprache, jede gesperrte Integration ist Arbeit, die Sie irgendwann rückgängig machen müssen. Der Ansatz von Elastic ist anders: offene Standards rein, offene Standards raus. Ihre Daten bleiben Ihr Eigentum, Ihre Erkennungen sind übertragbar, und Ihr Sicherheitsprogramm ist nicht von den Roadmap-Entscheidungen eines einzelnen Anbieters abhängig.

Für CISOs, die eine langfristige Architektur evaluieren, liegen die Kosten eines Plattformwechsels zu anderen Anbietern nicht in der Lizenz, sondern in den Erkennungsinhalten, den Integrationen, den Analysten-Workflows und dem institutionellen Wissen, das auf der derzeit von Ihnen genutzten Lösung aufbaut. Die offene Architektur von Elastic reduziert die Wechselkosten, egal ob Sie einziehen, expandieren oder ausziehen.

Forrester wies darauf hin, dass wir uns ein offenes, agentisches SOC vorstellen, das die Abläufe automatisieren wird. Wir stimmen zu, und genau darauf geht unsere Investition.

Agentische Sicherheitsoperationen bedeuten autonome KI-Agenten, die Alarme untersuchen, Signale korrelieren und empfohlene Aktionen vorbringen können, wobei Analysten die entscheidenden Entscheidungen treffen. Die Infrastruktur dafür ist bereits in Elastic: native Automatisierung; komponierbare, standardmäßige KI-Fähigkeiten; konversationsorientierte Erkennungstechnik; und vieles mehr.

Diese Funktionen sind jedoch nicht nur in Elastic Security verfügbar. Die Elastic Security MCP App, die auf der Open-Source-Erweiterung MCP Apps für das Model Context Protocol basiert, ermöglicht es einem MCP-Tool, neben seiner Textreaktion auch eine interaktive Benutzeroberfläche zurückzugeben, die in Claude Desktop, Claude.ai, VS Code Copilot, Cursor oder jedem kompatiblen Host direkt angezeigt wird. Dies ermöglicht die Priorisierung von Warnmeldungen, die Bedrohungsanalyse und das Ticketmanagement – alles mit denselben Tools, die Analysten bereits verwenden.

Da Elastic Security auf derselben Plattform wie Beobachtbarkeit- und Such-Workloads läuft, können Sicherheitsteams operative und sicherheitsrelevante Telemetriedaten korrelieren, ohne Daten zwischen Silos zu verschieben.

Der Sicherheitsstack der Branche wurde entwickelt, bevor KI die Geschwindigkeit von Angriffen veränderte. Die Ausbruchszeiten werden in Sekunden gemessen. Phishing-Kampagnen, die auf großen Sprachmodellen basieren, erzielen Klickraten, die um ein Vielfaches höher sind als bei herkömmlichen Methoden. Der Gegner agiert bereits mit Maschinengeschwindigkeit.

Die moderne Bedrohungslandschaft legt jeden Schwachpunkt der veralteten Sicherheitsarchitektur offen: Gebühren pro Endpunkt, die zu Abdeckungsentscheidungen zwingen, die kein Sicherheitsteam mit einem begrenzten Budget treffen sollte; nachträglich hinzugefügte Automatisierung, die während der aktiven Vorfälle, bei denen sie eigentlich helfen sollte, versagt; proprietäre KI, die ihre Begründung verbirgt, wenn Analysten eine Entscheidung validieren müssen; und Datenarchitekturen, die den historischen Kontext genau dann hinter Rehydratisierungsverzögerungen stellen, wenn eine Untersuchung ihn am dringendsten benötigt.

Jede einzelne davon ist eine vom Anbieter auferlegte Barriere. Jede Barriere bedeutet Zeit, die der Angreifer bereits ausnutzt. Elastic Security wurde entwickelt, um diese Barrieren zu beseitigen – durch die Bereitstellung von einheitlichem SIEM, XDR und nativer Automatisierung auf eine Plattform, ohne Gebühren pro Endpoint, ohne separate SOAR-Lizenz, mit KI, die ihre Arbeitsweise transparent macht, und mit Echtzeit-Zugriff auf historische Daten ohne Einbußen bei der Datenwiederherstellung. Bei Elastic agentisches SOC ist keine Zukunftsvision. Es ist das Ergebnis, das sich einstellt, wenn diese Barrieren beseitigt sind.

Erfahren Sie mehr darüber, wie Kunden Elastic Security nutzen, um agentische Sicherheitsoperationen zu steuern.

The Forrester Wave™: Extended Erkennung und Reaktionsplattformen, Q2 2026 ist jetzt verfügbar. Lesen Sie den Bericht.

Erfahren Sie, wie Elastic Security es autonomen Agenten ermöglicht, den gesamten Lebenszyklus von der Ingestion bis zur Reaktion zu bewältigen, während Ihre Analysten für Beurteilung, Verifizierung und Genehmigung zuständig sind.