Lanzamiento de Elastic Security 7.6.0
Las soluciones Elastic Endpoint Security y Elastic SIEM mencionadas en este blog ahora se denominan Elastic Security. La solución Elastic Security más amplia proporciona seguridad de endpoint, SIEM, búsqueda de amenazas, monitoreo del cloud y más.
Elastic Security 7.6 se desarrolla a partir de las fortalezas de Elastic Endpoint Security y Elastic SIEM para brindar una visibilidad y protección contra amenazas sin igual a través de una interfaz unificada. Esta versión automatiza la detección centralizada de amenazas en la app SIEM y mejora las capacidades de detección de endpoint en hosts Windows. El acceso a nuevas fuentes de datos y las mejoras en toda la app Elastic SIEM empoderan aún más a los especialistas de seguridad para acelerar la detección y respuesta. Exploremos las novedades en Elastic Security 7.6.
Tiempo de permanencia casi nulo con un motor de detección de SIEM nuevo y reglas alineadas con MITRE ATT&CK™
Elastic Security 7.6 presenta un motor de detección de SIEM nuevo para automatizar la detección de amenazas, minimizar el tiempo promedio hasta la detección (MTTD) y liberar al equipo de seguridad para las tareas de seguridad que requieran de la intuición y habilidades humanas. Con Elasticsearch como elemento principal, Elastic SIEM ya acelera el tiempo de investigación de seguridad de horas a minutos. Esta nueva capacidad de detección automatizada reduce más el tiempo de permanencia revelando amenazas que de lo contrario se omitirían.
Elastic también lanza un conjunto inicial de casi 100 reglas listas para usar alineadas con la base de conocimientos ATT&CK para revelar signos de amenazas que otras herramientas suelen omitir. Estas reglas, creadas y mantenidas por los expertos de seguridad de Elastic, detectan automáticamente herramientas, tácticas y procedimientos que indican la actividad de amenazas, y se actualizarán continuamente para abordar nuevas amenazas. Las puntuaciones de riesgo y gravedad asociadas con las señales que genera el motor de detección permiten a los analistas priorizar rápidamente los problemas y centrar su atención en el trabajo de mayor valor.
“Elastic ha ayudado a nuestro equipo de seguridad a enfocarse en lo importante gracias a que nos equipó con las herramientas necesarias para buscar de manera eficaz en millones de logs y reducir al mismo tiempo la cantidad de alertas a un volumen que nuestro equipo de seguridad puede manejar”, dijo Maxim Verreault, gerente de seguridad en Skytech Communications. “Con el lanzamiento de la versión 7.6, las reglas de detección de señales listas para usar en Elastic SIEM nos permiten automatizar el análisis de todos nuestros datos de observabilidad y detectar y responder a amenazas en el instante en que suceden. Elastic Security 7.6 también proporciona una excelente manera para que la comunidad se conecte mientras que nosotros, los encargados de seguridad, podremos compartir reglas de detección de señales personalizadas para que todos puedan beneficiarse y detectar nuevas amenazas emergentes”.
Las reglas se aplican a datos que cumplen con Elastic Common Schema (ECS) recopilados de sistemas Windows, macOS y Linux, al igual que a información de red de otras fuentes. Los equipos de seguridad tienen la opción de crear o personalizar reglas, pero nunca deberían necesitar volver a escribirlas para fuentes de datos que cumplen con ECS agregadas a su entorno.
Las reglas de detección de amenazas integradas de Elastic SIEM, desarrolladas y mantenidas por los expertos de seguridad de Elastic, complementan las tareas de detección de anomalías impulsadas por Machine Learning de la app SIEM y las protecciones basadas en host de Elastic Endpoint Security. Por cierto...
Visibilidad sin precedentes de endpoints de Windows
Elastic Security 7.6 proporciona niveles sin precedentes de visibilidad y protección a sistemas Windows, que son un objetivo de ataque importante debido a su ubicuidad y modelo tolerante de permisos de usuario. En este lanzamiento se profundiza la visibilidad de la actividad de Windows y se recopilan y enriquecen de manera resiliente datos de ubicaciones que, de lo contrario, son vulnerables a las técnicas de evasión de las amenazas avanzadas.
Las nuevas detecciones listas para usar aprovechan estos datos para detectar intentos de capturar entradas del teclado, cargar código malintencionado en otros procesos y más. Los especialistas pueden emparejar eventos generados por estas reglas de detección con respuestas automatizadas (por ejemplo, terminar un proceso) para lograr una prevención en capas. La combinación de esta visibilidad y protección con las capacidades existentes de prevención, detección y respuesta para sistemas macOS y Linux proporciona a los usuarios de Elastic Endpoint Security una protección completa en todo su entorno.
Reducción del MTTD mediante la visualización rápida de lo más importante
La nueva página Overview (Visión general) de la app Elastic SIEM y las mejoras más amplias del flujo de trabajo permiten a los especialistas en seguridad perseguir e investigar amenazas rápidamente. Los usuarios pueden adentrarse directamente en una investigación abriendo un cronograma, visualizando las señales de detección más recientes y revisando las alertas de fuentes externas como Elastic Endpoint Security, Palo Alto Networks, Suricata, Zeek y otras. Sin importar dónde estés en la app SIEM, solo estarás a un clic de distancia de sus capacidades integradas de detección de anomalías y detección de amenazas.
Los analistas también pueden aumentar la percepción operativa con nuevos histogramas de señales, alertas y eventos, y explorar las visualizaciones nuevas y mejoradas en las vistas Hosts y Network (Red) para análisis más especializados.
Vigila tus aplicaciones
Elastic SIEM ahora también proporciona visibilidad seleccionada de los datos HTTP, lo que te otorga el poder para ver datos de Elastic APM directamente en la app SIEM. Varios módulos de Beats listos para usar proporcionan acceso a datos HTTP adicionales que cumplen con ECS, lo que te permite inspeccionar y visualizar fácilmente todas las transacciones web en una vista unificada. Explora y ve lo que puedes descubrir; y asegúrate de que tus colegas de DevOps echen un vistazo pronto.
Monitorea tus datos del cloud
Simplificamos aún más la ingesta de datos en el Elastic Stack para una visualización y análisis centralizados. La versión 7.6 incorpora soporte para datos de AWS CloudTrail y mejora el soporte para Google Cloud Platform, lo que proporciona una visibilidad fundamental de la superficie de ataque moderna. Los datos en formato CEF, ya sean de la cloud u otro origen, también son más fáciles de visualizar que nunca gracias a nuestro módulo CEF actualizado para Filebeat.
Comienza hoy mismo
¿Quieres darle una oportunidad a Elastic SIEM? Experimenta nuestra versión más reciente en Elasticsearch Service en Elastic Cloud o prueba una demostración de Elastic SIEM. ¿Ya tienes el formato de datos con formato ECS en Elasticsearch? Solo actualiza a la versión 7.6 del Elastic Stack para iniciar la persecución.