Elastic SIEM es abierto y gratuito para los analistas de seguridad en todas partes
La solución Elastic SIEM mencionada en este blog ahora se denomina Elastic Security. La solución Elastic Security más amplia proporciona SIEM, seguridad de endpoint, búsqueda de amenazas, monitoreo del cloud y más. Si buscas información específica sobre Elastic Security para casos de uso de SIEM, visita nuestra página de SIEM.
Los equipos de seguridad deben proteger las superficies de ataque que se están haciendo cada vez más grandes y distribuidas debido al aumento del trabajo remoto, la infraestructura en el cloud y otras dinámicas. Estos equipos comprenden que cumplir este desafío a escala requiere la incorporación exitosa de la tecnología adecuada en su programa de operaciones de seguridad. Si bien las soluciones de gestión de eventos e información de seguridad (SIEM) están diseñadas para ayudar a los analistas a detectar y responder ante amenazas potenciales de seguridad, existen limitaciones fundamentales con muchas soluciones SIEM ampliamente implementadas que a menudo paralizan a los analistas.
Asegurar tu organización contra amenazas cibernéticas es lo suficientemente difícil en épocas normales. Desafortunadamente, en tiempos difíciles, el panorama de amenazas se vuelve aún más engañoso. Los eventos regionales, nacionales o globales, como las elecciones, eventos deportivos importantes o incluso una crisis de salud mundial, pueden exacerbar el desafío. La mayor adopción de teletrabajo a gran escala conlleva sus propios riesgos: los trabajadores operan desde entornos no seguros, en equipos personales o readaptados, y siguiendo procesos que quizá no se hayan probado o revisado detenidamente.
¿Qué es Elastic SIEM?
Elastic SIEM abierto y gratuito es una aplicación que proporciona a los equipos de seguridad visibilidad, búsqueda de amenazas, detección automatizada y flujos de trabajo de centros de operaciones de seguridad (SOC). Elastic SIEM se incluye en la distribución predeterminada de la plataforma de logging más exitosa, el software del Elastic (ELK) Stack. Se envía con reglas de detección listas para usar alineadas con el marco de trabajo MITRE ATT&CK™ para revelar amenazas que otras herramientas con frecuencia pasan por alto. Creadas, mantenidas y actualizadas por los expertos en seguridad de Elastic, estas reglas automáticamente detectan y abordan la actividad de amenazas más reciente. Las puntuaciones de riesgo y gravedad asociadas con las señales que generan las reglas de detección permiten a los analistas priorizar rápidamente los problemas y centrar su atención en el trabajo de mayor riesgo. Si necesitas desplegar hoy una solución de SIEM y ver el valor inmediato, proporcionamos la mejor y más fácil forma de hacerlo.
Elastic SIEM incluye mucho poder. Creado con la velocidad y escalabilidad de Elasticsearch como su plataforma de búsqueda subyacente, mantiene la velocidad de los analistas con lo siguiente:
- Una página de visión general para mostrar el estado de SOC y la posición de seguridad
- Dashboards para la búsqueda de amenazas y la conciencia de la situación
- Integración con Elastic Maps, Elastic Lens y el resto de Kibana
- Un motor de detección para la detección automática
- Un investigador de línea de tiempo único con plantillas de investigación para los analistas
Las organizaciones usan estas capacidades para eliminar puntos ciegos y equipar a los analistas para reducir el tiempo promedio hasta la detección (MTTD) y el tiempo promedio de respuesta (MTTR).
¿Por qué SIEM gratuito?
Elastic está en una misión de ayudar a las organizaciones a mejorar su posición de seguridad eliminando puntos ciegos y equipando a sus analistas con los productos y flujos de trabajo que necesitan para proteger los datos y la infraestructura. Propiciados por la amplia adopción del Elastic Stack por parte de la comunidad de seguridad para la búsqueda de amenazas, la detección de fraude y el monitoreo de seguridad, quisimos que el despliegue de nuestros productos para la seguridad fuera aún más fácil para los usuarios. Primero trabajamos en colaboración con nuestra comunidad para desarrollar Elastic Common Schema (ECS), que optimiza la normalización de datos de fuentes dispares; ya sean de tecnologías de red y host o aplicaciones e infraestructura del cloud. Lanzamos Elastic SIEM en junio de 2019, presentando el único SIEM abierto y gratuito de la industria con reglas de detección de SIEM que se mantienen de forma activa.
Demostramos las capacidades de Elastic SIEM más recientes a docenas de visitantes en nuestro stand en la conferencia RSA 2020 en San Francisco. Después de casi todas las demostraciones, cuando nos preguntaban acerca de los costos de licencias, nos complacía poder responder que todo lo que acabábamos de mostrar era abierto y gratuito. “Un momento, ¿una prueba?”. “No, para siempre”. “¿De verdad?”. “Sí”.
Da los primeros pasos y despliega a escala de forma gratuita
Puede ser que las características “abierto” y “gratuito” sean nuevas para SIEM, pero no lo son para Elastic. Durante años, las organizaciones han creado proyectos de analítica de seguridad para la búsqueda de amenazas y SIEM en el Elastic Stack. Han disfrutado de una escala ilimitada, pruebas de concepto ilimitadas sin costo de licencias y sin los problemas con los proveedores que generalmente se asocian con evaluar software empresarial nuevo. Partimos de esto con Elastic SIEM, disponible para descargar y ejecutar en las instalaciones, en un entorno virtual o en contenedores, o en tu cloud o el nuestro.
Precios basados en recursos para extensiones comerciales
Elastic SIEM abierto y gratuito proporciona una base sólida para las operaciones de SOC para usar a cualquier escala y por el tiempo que se necesite. Elastic también proporciona extensiones comerciales para Elastic SIEM que lo llevan al siguiente nivel, incluida la integración de detección de anomalías basada en Machine Learning, las notificaciones de alerta externas y la integración con plataformas de gestión de tickets/casos de terceros, sistemas de respuesta ante incidentes y plataformas de SOAR.
Los proveedores de SIEM generalmente cobran a los clientes según la tasa de ingesta de datos, como la cantidad promedio de eventos por segundo (EPS) o el volumen indexado diario (DIV). Este modelo de licencias tiene varias desventajas. En primer lugar, genera un desincentivo financiero para que las organizaciones recopilen e ingesten los datos que en realidad podrían ayudarlas a detectar amenazas de forma más efectiva. En segundo lugar, crea una situación en la que algunos datos de seguridad se “dejan caer al suelo” o se envían a otra área de almacenamiento en la que deben invocarse procesos especiales para verlos. En tercer lugar, crea una situación de presupuesto impredecible e incómoda para las organizaciones que planean la expansión de datos.
Por el contrario, nuestros precios basados en recursos no cobran por tasa de ingesta de datos ni por asientos. En cambio, puedes pagar solo por lo que usas en términos de recursos que brindan soporte a tus operaciones de seguridad. Puedes elegir cuántos datos ingestar, cuánto tiempo retenerlos y el tipo de flujos de datos de seguridad que habilitas en los datos.
¿Por qué SIEM abierto?
¿A qué nos referimos con abierto? Es mucho más que “open source” o “código abierto”, que han definido una era nueva de enfoques disruptivos con respecto a SIEM. Nuestros usuarios valoran la comunidad abierta, el roadmap abierto, el modelo de datos abierto y un enfoque abierto con respecto a las detecciones.
Comunidad abierta
Una de las cosas que los usuarios nos dicen que les encanta de Elastic, tanto desde la perspectiva cultural como tecnológica, es la comunidad. Si tienes preguntas, la comunidad de Elastic estará allí para darte apoyo. Cuando se trata de SIEM, nuestros miembros del equipo responden preguntas de los usuarios a diario en el foro de debate de SIEM y en nuestro canal público #siem de Slack, además de en otros lugares en los que interactuamos con los usuarios.
La comunidad es particularmente fundamental en la ciberseguridad. El espacio de seguridad no se trata de una sola herramienta o individuo, sino de cómo los equipos colaboran entre organizaciones, geografías, sets de datos y prácticas para proteger infraestructuras y datos valiosos de amenazas. Con Elastic SIEM, Elastic fomenta de manera activa esta comunidad de seguridad; ya sea a través de productos, asociaciones, patrocinios, capacitación o la increíble investigación original que surge de la comunidad de Elastic en sí.
Muchas organizaciones usaron Elastic como su plataforma de analítica de seguridad y solución SIEM casera por años. Por ejemplo, SANS, uno de los líderes en capacitación y certificación de seguridad, usa desde hace tiempo Elasticsearch como plataforma de capacitación para SIEM, sin mencionar las muchas otras herramientas y programas de capacitación que aprovechan Elastic para la búsqueda de amenazas, las amenazas internas y la detección de fraudes.
Roadmap abierto
Otro aspecto poderoso de las prácticas de desarrollo abiertas que adoptamos es un rastreador de problemas y roadmaps abierto. Ya sea que solo estés intentando descubrir en qué nos enfocamos o persiguiendo una solicitud de mejora específica, puedes simplemente pasar a los problemas públicos de Github, comenzar a aprender, votar a favor de temas y presentar temas nuevos. Verás que nuestros diseños para el futuro se orientan por completo hacia lo abierto y que nuestros ingenieros participan en la priorización y obtienen más detalles sobre tus ideas. También aceptamos contribuciones; que es otra forma de mover la aguja.
Modelo de datos abierto
En el Elastic Stack, cada dato que agregas es “solo otro índice” en nuestro modelo de datos abierto. Los datos se almacenan como JSON, sin formatos propietarios. Claramente documentamos nuestras suposiciones de esquema en ECS, que es impulsado por la comunidad y extensible. Esto significa que no hay un bloqueo de proveedores.
Elastic SIEM incluye funciones de “inspección” para que puedas ver las búsquedas reales que usa la app. Nuestras reglas de SIEM están publicadas y completamente documentadas, para que puedas ver y entender la lógica de detección; aquí no hay detecciones de “caja negra”. Incluso nuestros trabajos de detección de anomalías basados en Machine Learning están disponibles para ver y se pueden copiar y editar para crear tus propios trabajos personalizados. ¿Deseas agregar otra fuente de datos a SIEM? No hay problema. Además de eso, nunca limitamos la tasa de tu capacidad para sacar los datos; son tus datos y tú tienes el control.
Pruébalo tú mismo
¿Quieres darle una oportunidad a Elastic SIEM? Prueba Elastic SIEM en Elasticsearch Service en Elastic Cloud o echa un vistazo a una demostración de Elastic SIEM. ¿Ya tienes el formato de datos con formato ECS en Elasticsearch? Solo actualiza a la versión 7.6 del Elastic Stack para poner en marcha tu SOC.
¿Quieres experimentar Elastic Security en vivo? Participa de forma virtual en un evento de Elastic{ON} Tour.