Carrie Pascale

Übersicht über Integrationen für elastische Sicherheit: 1. Quartal 2026

Elastic Security Labs kündigt neun neue Integrationen für Elastic Security an, die Cloud-Sicherheit, Endpunkt-Transparenz, E-Mail-Bedrohungserkennung, Identitätsmanagement und SIEM umfassen.

5 Minuten LesezeitProduktupdates

Ein vierteljährlicher Blick auf das Sicherheitsintegrations-Ökosystem von Elastic

Sicherheitsteams können nur das schützen, was sie sehen können. Lücken in der Abdeckung, wie beispielsweise eine macOS-Flotte, die Protokolle generiert, die Ihr SIEM nie erreichen, ein isoliert betriebenes E-Mail-Gateway oder eine Cloud-Umgebung, deren Ergebnisse in der Konsole des Anbieters isoliert bleiben, können von Angreifern leicht ausgenutzt werden.

Elastics Antwort darauf sind kontinuierliche und offene Investitionen in Drittanbieterintegrationen, basierend auf der Überzeugung, dass ein starkes Sicherheitsökosystem tiefgreifende Integrationen erfordert, die Daten aus allen Bereichen des Stacks durchsuchbar und kontextualisierbar machen. Heute kündigen wir neun neue Integrationen für Elastic Security an, die Cloud-Sicherheit, Endpunkt-Transparenz, E-Mail-Bedrohungserkennung, Identitätsmanagement und SIEM umfassen.

Jede Integration beinhaltet standardmäßig Ingest-Pipelines, die Daten normalisieren und strukturieren, sowie vorgefertigte Dashboards, die als sofortiger Ausgangspunkt für Visualisierung und Analyse dienen, sodass Teams vom ersten Tag an neue Datenquellen durchsuchen, korrelieren und untersuchen können, ohne Parser schreiben oder warten zu müssen.

macOS-Sicherheitsereignisse

Elastic Defend, die native Integration, die Elastic Endpoint Security bereitstellt, sammelt umfangreiche Sicherheitstelemetriedaten auf macOS und konzentriert sich bewusst auf hochwertige Erkennungssignale anstatt auf eine vollständige Systemprüfung. An- und Abmeldevorgänge, Kontoerstellung und -löschung, Änderungen der Dienstregistrierung und Anwendungsdiagnoseprotokolle liegen alle außerhalb dieses Bereichs, sodass Bedrohungsanalysten und IR-Teams keinen vollständigen macOS-Kontext haben. Die macOS-Sicherheitsereignisse-Integration ergänzt Elastic Defend und bietet die gleiche umfassende Transparenz auf Betriebssystemebene, die Windows-Geräten über die Windows-Ereignisprotokoll-Integration zur Verfügung steht.

MacOS-Endpunkte generieren pro Endpunkt zehntausende einheitliche Protokolleinträge. Ungefiltert erzeugt diese Lautstärke eher Rauschen als Signale. Diese Integration beinhaltet prädikatbasierte Filter, die die Datenerfassung auf sicherheitsrelevante Ereignisse beschränken: Authentifizierungsaktivitäten, Prozessausführung, Netzwerkverbindungen, Dateisystemänderungen und Systemkonfigurationsänderungen.

Diese prädikatbasierten Filter ermöglichen eine umfassende macOS-Abdeckung ohne die Kosten und Komplexität der vollständigen Datenerfassung. Sobald diese Ereignisse erfasst sind, stehen sie dem KI-Assistenten von Elastic Security sofort zur Verfügung. Analysten können Fragen in natürlicher Sprache stellen wie „Zeigen Sie mir alle Versuche der Rechteausweitung auf macOS-Endpunkten in den letzten 24 Stunden“ oder „Fassen Sie die Anmeldefehler für diesen Host zusammen“, wodurch rohe Unified-Log-Einträge in einen umsetzbaren Untersuchungskontext umgewandelt werden, ohne dass eine einzige Abfrage geschrieben werden muss.

Schauen Sie sich die macOS-Sicherheitsereignisse- Integration an.

IBM QRadar

Für Teams, die IBM QRadar parallel zu Elastic Security einsetzen, ist die Erfassung von Warnmeldungen in Elastic einfacher geworden. Die QRadar-Integration sammelt Verstößesdatensätze von den Verstößen- und Regelendpunkten von QRadar und reichert jede Warnung mit dem Namen, der ID, dem Typ und dem Eigentümer der auslösenden Regel an, sodass Analysten in Elastic eine Priorisierung durchführen können, ohne zu QRadar zurückwechseln zu müssen.

Diese Integration bildet die Grundlage für den SIEM-Migrationsworkflow von Elastic für QRadar, der die bereits für Splunk verfügbare Funktionalität widerspiegelt. Teams können auch die automatische Migration nutzen, um ihre QRadar-Regeln in Elastic zu migrieren. Es verwendet semantische Suche und generative KI, um bestehende Regeln den über 1.300 vordefinierten Erkennungen von Elastic zuzuordnen und alles, was nicht direkt in ES|QL übersetzt wird, zu übersetzen. So können Sie Ihre SIEM-Infrastruktur konsolidieren, ohne Ihre gesamte Erkennungsbibliothek manuell neu erstellen zu müssen.

Schauen Sie sich die IBM QRadar- Integration an.

Proofpoint Essentials

Für Unternehmenskunden ist Proofpoints TAP (Targeted Attack Protection) bereits in Elastic verfügbar. Um auch KMU-Umgebungen sowie den MSPs und MSSPs, die diese betreuen, die gleiche Transparenz hinsichtlich E-Mail-Bedrohungen zu bieten, ist jetzt Proofpoint Essentials verfügbar.

Die Proofpoint Essentials-Integration streamt vier Ereignistypen in Elastic Security:

  • Klicks auf schädliche URLs, die blockiert wurden
  • Zulässige Klicks
  • Nachrichten wurden blockiert, weil sie Bedrohungen enthielten, die von URL Defense oder Attachment Defense erkannt wurden.
  • Nachrichten wurden trotz der enthaltenen Drohungen übermittelt.

Um diese Daten leicht zugänglich zu machen, stehen zwei vorgefertigte Dashboards zur Verfügung:

Für ein SMB-SOC-Team bedeutet dies, dass Phishing-Versuche, Malware-Erkennungen und Richtlinienverstöße auf derselben Plattform wie die übrigen Sicherheitstelemetriedaten landen, wodurch die Notwendigkeit entfällt, zwischen Plattformen zu wechseln, um den vollständigen Kontext einer Bedrohung zu verstehen.

Schauen Sie sich die Proofpoint Essentials- Integration an.

AWS Security Hub

AWS Security Hub aggregiert die Ergebnisse aus Ihrer AWS-Umgebung, aber die Untersuchung dieser Ergebnisse erfordert, dass Sie innerhalb der AWS-Konsole bleiben und somit von den übrigen Sicherheitsdaten Ihres Teams getrennt sind. Die Elastic-Integration ändert dies, indem sie die Ergebnisse des Security Hub im Open Cybersecurity Schema Framework (OCSF)-Format in Elastic einbindet und sie auf ECS normalisiert. Dadurch werden schema-konsistente Daten bereitgestellt, die sofort über ES|QL durchsuchbar sind.

Die Ergebnisse werden auf der Seite „Elastic Vulnerability Findings“ angezeigt und integrieren die AWS-Cloud-Sicherheitslage direkt in die bereits vorhandenen Arbeitsabläufe. Von dort aus können Sie Security Hub-Daten mit Signalen aus anderen Quellen – Endpunktwarnungen, Identitätsereignissen, Netzwerktelemetrie – korrelieren, um ein umfassenderes Bild des Risikos in Ihrer AWS-Umgebung zu erhalten und schneller zu ermitteln, als es die native Konsole ermöglicht.

Schauen Sie sich die AWS Security Hub- Integration an.

Weitere neue Elastic Security-Integrationen

Zusätzlich zu den oben genannten Integrationen sind nun folgende Integrationen verfügbar, die jeweils mit vorkonfigurierten Dashboards für sofortigen Nutzen ausgeliefert werden:

  • JupiterOne: Asset Intelligence und Überwachung der Cloud-Angriffsfläche, Erfassung von toolübergreifenden Warnmeldungen, CVE-Ergebnissen und Bedrohungserkennungen, angereichert mit MITRE ATT&CK-Mappings und CVSS-Scores sowie Host-Kontext für eine einheitliche Risikotransparenz.
  • Airlock Digital: Telemetrie für die Zulassungsliste und Ausführungskontrolle von Anwendungen, Erfassung blockierter Prozessausführungen mit Befehlszeilen, Dateihashes und Herausgeberkontext, sodass nicht autorisierte Ausführungsversuche sichtbar und mit den übrigen Endpunkterkennungen korreliert werden können.
  • Island Browser: Sicherheitsereignisse für Unternehmensbrowser, die Benutzernavigation, Gerätestatus, Erkennung kompromittierter Anmeldeinformationen und Administratoraktivitäten umfassen und die Transparenz von Elastic auf BYOD- und nicht verwaltete Geräte ausweiten, auf denen herkömmliche Endpoint-Agenten nicht eingesetzt werden können.
  • Ironscales: KI-gestützte Phishing-Erkennung, die E-Mail-Metadaten, Absenderreputation, Anzahl betroffener Postfächer und verdächtige Links erfasst und mit Endpunkt- und Identitätsdaten korreliert, um eine schnellere Untersuchung und Reaktion zu ermöglichen.
  • Cyera: Ereignisse im Bereich Data Security Posture Management, die Risiken für sensible Daten aufdecken, einschließlich des Schweregrads der Gefährdung, der Anzahl betroffener Datensätze, Verstößen gegen Compliance-Rahmenwerke und der Datenspeicherzugehörigkeit in Cloud-Umgebungen, sodass die Gefährdung sensibler Daten nicht in einer separaten DSPM-Konsole isoliert bleibt.

Erste Schritte

Diese Integrationen unterstreichen den offenen Sicherheitsansatz von Elastic. Alle neun Integrationen in dieser Übersicht werden mit vorkonfigurierten Dashboards und nativen ECS-Mappings ausgeliefert, sodass Ihr Team sofortigen Überblick erhält, ohne dass zusätzliche Einrichtungs- oder benutzerdefinierte Visualisierungsarbeiten erforderlich sind.

Von dort aus stehen Erkenntnisse, Warnmeldungen und Protokolle sofort den umfassenderen Erkennungs- und Untersuchungsfunktionen von Elastic zur Verfügung: Attack Discovery zur Aufdeckung mehrstufiger Bedrohungen, AI Assistant für die Untersuchung in natürlicher Sprache und die geführte Reaktion sowie ES|QL und EQL für benutzerdefinierte Erkennungs- und Suchabfragen.

Haben Sie Fragen oder Feedback? Tritt dem Kanal #security-siem im Elastic Stack Community Slack bei.

Diesen Artikel teilen

FacebookLinkedInReddit (Englisch)