Native Automatisierung mit Elastic Workflows – kein SOAR erforderlich

Elastic Workflows, jetzt in der technischen Vorschau, bringt native Automatisierung zu Elastic Security, der Sicherheitsoperationsplattform, die bereits einheitliches SIEM und XDR umfasst. Hören Sie auf, die Automatisierungssteuer zu zahlen. Es gibt kein separates SOAR-Tool, das gekauft, integriert oder gewartet werden muss.

In Elastic Security nativ integriert hat Workflows direkten Zugriff auf Ihre Alarme, Tickets und Untersuchungsdaten. Eliminieren Sie die manuelle Triage, indem Sie definierte Aufgaben aus Playbooks ausführen, während KI-Agenten komplexe Untersuchungen durchführen, um Bedrohungen schneller zu beseitigen.

Nach der Inbetriebnahme verbindet sich Workflows nahtlos mit externen Systemen, von denen Ihr SOC abhängig ist, wie z.B. Cloud-Anbietern, Identitätsplattformen, Service Desks und Messaging-Tools. Dadurch kann eine einzige Automatisierung den Kontext über Ihren gesamten Sicherheits-Stack hinweg synchronisieren. 

Elastic Workflows kombiniert skriptgestützte Automatisierung mit KI-gestütztem logischen Denken. Führen Sie definierte Aufgaben aus Playbooks mit Konsistenz und Zuverlässigkeit aus, während KI-Agenten komplexe Untersuchungen logisch durchdenken.

Workflows erhält seine agentenbasierten Fähigkeiten durch die Integration in Elastic Agent Builder, einer nativen Funktion von Elasticsearch zur Erstellung benutzerdefinierter KI-Agenten. Die Integration funktioniert in beide Richtungen. Workflows kann Agenten als intelligente Schritte für Analyse und Entscheidungsfindung aufrufen. Agenten wiederum können Workflows nutzen, um konkrete Aktionen durchzuführen, wie z. B. die Isolierung eines Hosts, das Abfragen von Bedrohungsdaten, die Eskalation eines Vorfalls oder die Aktualisierung eines Tickets. Jeder Aktions- und Entscheidungsschritt ist transparent und konfigurierbar.

Da Elastic Security auf der Elasticsearch Platform basiert, analysieren die Agenten Ihre Sicherheitsdaten mit einem überlegenen Kontext und liefern so genauere, auf Ihre Umgebung zugeschnittene Ergebnisse. KI-Fähigkeiten werden dies erweitern, indem sie den Agenten modulare, domänenspezifische Schlussfolgerungen wie Alarmpriorisierung oder Malware-Analyse bieten, die dynamisch bei Bedarf geladen werden, wodurch die Agenten auch in großem Umfang schnell und genau arbeiten können.

So sieht das in der Praxis aus. Stellen Sie sich vor, ein Alarm wird bei einer verdächtigen Anmeldung von einem unbekannten Ort auf einem Konto mit hohen Privilegien ausgelöst. Normalerweise beginnt hier Ihre manuelle Arbeit. Bei Workflows hingegen beginnt das System, sobald die Warnung ausgelöst wird, sofort mit der Überprüfung des typischen Nutzerverhaltens, sucht nach anderen kürzlich aufgetretenen Anmeldeanomalien und fasst die Ergebnisse in einem neuen Ticket zusammen, während das Team über Slack benachrichtigt wird.

Wenn es für die automatische Triage dieses spezifischen Szenarios kein definiertes Playbook gibt, kann der Workflow einen KI-Agenten hinzuziehen, der einspringt. Der Agent analysiert die Aktivität, gleicht sie mit bekannten Angriffsmustern ab und liefert eine Zusammenfassung dessen, was tatsächlich passiert ist. Wenn Analysten das Ticket öffnen, starten sie nicht mit einer vagen Warnung und einem leeren Bildschirm; sie starten mit Kontext, der bereits zusammengestellt wurde.

Wenn Ihr Team bereits über eine SOAR-Plattform verfügt, müssen Sie diese mit Workflows nicht ersetzen. Automatisierungen, die Ihre Elastic-Daten betreffen, wie z. B. Alert-Triage, Anreicherung, Ticketmanagement und Reaktionsmaßnahmen, fließen nativ in Workflows ein. Die plattformübergreifende Orchestrierung für Nicht-Elastic-Systeme verbleibt in Ihrem bestehenden SOAR. Im Laufe der Zeit können Sie die Konsolidierung in Ihrem eigenen Tempo vornehmen.

Die Entscheidung über die Veröffentlichung der in diesem Blogeintrag beschriebenen Leistungsmerkmale und Features sowie deren Zeitpunkt liegt allein bei Elastic. Es ist möglich, dass noch nicht verfügbare Leistungsmerkmale oder Features nicht rechtzeitig oder überhaupt nicht veröffentlicht werden.

In diesem Blogpost haben wir möglicherweise generative KI-Tools von Drittanbietern verwendet oder darauf Bezug genommen, die von ihren jeweiligen Eigentümern betrieben werden. Elastic hat keine Kontrolle über die Drittanbieter-Tools und übernimmt keine Verantwortung oder Haftung für ihre Inhalte, ihren Betrieb oder ihre Anwendung sowie für etwaige Verluste oder Schäden, die sich aus Ihrer Anwendung solcher Tools ergeben. Gehen Sie vorsichtig vor, wenn Sie KI-Tools mit personenbezogenen, sensiblen oder vertraulichen Daten verwenden. Alle von Ihnen eingegebenen Daten können für das Training von KI oder andere Zwecke verwendet werden. Es gibt keine Garantie dafür, dass von Ihnen bereitgestellte Informationen sicher oder vertraulich behandelt werden. Setzen Sie sich vor Gebrauch mit den Datenschutzpraktiken und den Nutzungsbedingungen generativer KI-Tools auseinander. 

Elastic, Elasticsearch und zugehörige Marken sind Marken, Logos oder eingetragene Marken von Elasticsearch B.V. in den Vereinigten Staaten und anderen Ländern. Alle anderen Unternehmens- und Produktnamen sind Marken, Logos oder eingetragene Marken ihrer jeweiligen Eigentümer.