Elastic 8.4 presenta SOAR para las operaciones de seguridad modernas

Como novedad en Elastic Security 8.4, Elastic incorpora capacidades de SOAR a fin de empoderar a los centros de operaciones de seguridad (SOC) modernos para optimizar las operaciones de analistas. 

Los SOC modernos se encuentran precipitadamente con varios desafíos. Mientras que la visibilidad y el impacto de las operaciones de seguridad se ha vuelto un problema a nivel ejecutivo, los recursos disponibles para los equipos de seguridad siguen siendo limitados. Los datos están creciendo rápidamente y, en consecuencia, la responsabilidad del equipo de seguridad aumenta. Los equipos tienen la tarea de proteger un entorno distribuido sin límites y de evaluar el riesgo de los proveedores de SaaS y los servicios compartidos.

Para abordar estos desafíos, muchas organizaciones han comenzado a unificar equipos con objetivos similares a fin de compartir mejores prácticas y reducir la brecha de habilidades. Los muros entre la observabilidad (aquellos con la tarea de la eficiencia operativa y visibilidad de las aplicaciones comerciales) y la seguridad (aquellos con la tarea de asegurar y proteger las aplicaciones comerciales) han encontrado que sus mundos chocan: ahora comparten datos, flujos de trabajo y experiencia de los equipos. Elastic Security 8.4 brinda las herramientas que necesitan los analistas para optimizar sus flujos de trabajo de operaciones a fin de acelerar la búsqueda de amenazas y corrección. 

Novedades en Elastic Security 8.4

La SOAR para el SOC moderno multiplica las fuerzas

Recientemente, Elastic redobló el compromiso con la seguridad abierta y transparente y ahora, en Elastic Security 8.4, ampliamos nuestras capacidades de respuesta para seguir optimizando las operaciones de analistas.

Los flujos de trabajo mejorados en Elastic 8.4 combinan capacidades de respuesta nativas y acciones de casos y alertas configurables con integraciones bidireccionales en proveedores de orquestación de seguridad, automatización y respuesta (SOAR). Los usuarios ahora pueden disfrutar de integraciones en ServiceNow, Swimlane y Tines, al igual que de nuevas asociaciones con D3 y Torq.

El enfoque único de Elastic respecto a la SOAR está impulsado por Elastic Agent. Esta tecnología, incluida en la solución Elastic Security, potencia el crecimiento de casos de uso con un solo clic en cientos de fuentes de datos, al igual que la gestión de nuestro software de protección de seguridad del cloud y endpoints. Elastic Agent impulsa capacidades de corrección nativas accesibles para todos los usuarios, lo que garantiza que todos puedan comenzar su recorrido por la SOAR sin necesidad de comprar tecnologías adicionales.

A medida que aumentan los casos de uso de corrección y los equipos requieren controles de orquestación avanzados, los usuarios pueden usar las capacidades de orquestación personalizables dentro de Elastic Security o las integraciones con un clic en otros proveedores líderes de SOAR. El enfoque que prioriza a los usuarios evoluciona con las necesidades de una organización; ofrece simplicidad y consolidación para todos los usuarios sin aplicar un bloqueo de proveedores.

Este modelo en el que se escala sobre la marcha permite a los clientes simplificar los procesos y flujos de trabajo de automatización y orquestación en su ecosistema existente mediante la combinación de acciones nativas con un clic y orquestaciones con un enfoque que prioriza las API en integraciones propias y de terceros. Ahora los analistas pueden usar Elastic Security para sus necesidades de SOAR, aprovechar cualquiera de nuestros proveedores de SOAR asociados para ampliar sus capacidades de orquestación o personalizar por completo la experiencia de respuesta con acciones de Elastic y nuestro enfoque que prioriza las API para todas las capacidades.

Nuestra visión abierta de SOAR refleja nuestro enfoque respecto a muchas otras tecnologías, como Elastic Security para endpoint, que ofrece prevención y detección de endpoints e impulsa detección y respuesta extendidas (XDR). Los usuarios merecen opciones, por lo que ofrecemos integraciones completas a otros proveedores de endpoint, como CrowdStrike, Microsoft Defender y SentinelOne. Hacemos lo mejor para nuestra comunidad, no dudamos en integrarnos a tecnologías que proporcionan capacidades que se superponen.

Muchas organizaciones recién dan los primeros pasos con la orquestación de seguridad, automatización y respuesta. Nuestras capacidades de SOAR nativas ayudan a organizaciones de todo tipo a brillar en la gestión de incidentes, y nuestros socios de SOAR estrechamente integrados las ayudan a lograr incluso más.

Interfaz de automatización de respuestas de diseño específico

Un flujo de trabajo central para planificar, crear y ejecutar tu plan de respuesta es un componente clave de SOAR. Elastic Security 8.4 presenta una interfaz de tipo de terminal que permite a los especialistas ver e invocar acciones de respuesta rápidamente, lo que acelera la respuesta. Se puede acceder a ella con un solo clic desde los flujos de trabajo de analistas clave, lo que minimiza el tiempo promedio de respuesta (MTTR).

El aislamiento de hosts, una acción existente, equipa a los analistas para deshabilitar rápido la conectividad de red en sistemas infectados, y así prevenir el movimiento lateral y permitir a los responsables de responder realizar la priorización e investigar. A esta capacidad de respuesta entre sistemas operativos (Linux, macOS y Windows) se le suman tres operaciones de procesos agregadas en la versión 8.4:

• Enumerar procesos actualmente en ejecución
• Suspender procesos
• Terminar el proceso

Una nueva interfaz de auditoría proporciona un registro completo de actividad de respuesta ante incidentes, lo que brinda soporte a estrictos controles y reportes.

Estas capacidades se encuentran a disposición del público en general (GA) en la versión 8.4, y se puede acceder a ellas con nuestro nivel de suscripción Enterprise en los despliegues autogestionados y en el cloud. Los lanzamientos posteriores ampliarán aún más las acciones de respuesta disponibles.

Autorreparación en hosts Windows

Regresar un host atacado a un estado correcto conocido es otro componente esencial de SOAR. 

Elastic Security 8.4 presenta la autorreparación, una característica de corrección automatizada que elimina artefactos de ataque de un sistema. Ahora, cuando se identifica actividad maliciosa en un host, la autorreparación devuelve automáticamente el host a su estado previo al ataque revirtiendo los cambios implementados durante el ataque. En este lanzamiento, nos enfocamos en revertir los cambios en archivos y abordar los ejecutables colocados/creados; y la funcionalidad de corrección estará disponible pronto.

El modo de autorreparación en sistemas Windows está GA en la versión 8.4, y se puede acceder a él con nuestro nivel de suscripción Platino en despliegues autogestionados o en el cloud.

Información de alertas automatizada

Los analistas de seguridad gastan una cantidad importante de energía en conectar los puntos entre una alerta y las múltiples otras alertas en el entorno. La fatiga por alertas, una combinación de volumen de alertas y alertas falsas, junto con la falta de profesionales capacitados es un verdadero problema en muchas organizaciones. La información de alertas, otra capacidad nueva, guía a los analistas en su flujo de trabajo a las alertas y casos relevantes, lo que acelera la evaluación del impacto y optimiza la experiencia y el flujo de trabajo de los analistas. De un vistazo, los analistas pueden observar lo siguiente:

• ¿Esta alerta ya formó parte de un caso antes?
• ¿Esta alerta está relacionada con otras alertas de indicadores clave de compromiso?
• Agrupaciones exclusivas de Elastic basadas en alertas relacionadas en la misma sesión de usuario

Además, las acciones con un clic se incluyen en la experiencia de investigación de arrastrar y soltar de Elastic, lo que permite una búsqueda de amenazas y análisis adicional fáciles.

La información de alertas está GA en la versión 8.4, y se puede acceder a ella con el nivel de suscripción Platino.

Asociaciones de SOAR ampliadas

La SOAR impulsa Elastic Security tanto con integración de SOAR nativa como de terceros. En respuesta a los comentarios de los clientes, pronto llegarán nuevos conectores de D3 Security y Torq, que impulsarán más nuestro liderazgo en las integraciones de SOAR de terceros. Los conectores proporcionarán el reenvío preconfigurado de detecciones de Elastic, lo que permitirá la orquestación de seguridad, automatización y respuesta.

Orquestación personalizable mejorada

En el caso de cualquier proveedor o acción fuera de nuestro amplio conjunto de integraciones, los usuarios pueden crear automatizaciones con nuestra interfaz de diseño específico. Aquí, cualquier llamada de API puede crearse como conector y luego aplicarse como una acción orquestada. Una comunidad abierta de conectores se publicó recientemente para proporcionar un atajo a cualquier control personalizado que requieran los usuarios. En Elastic 8.4, ampliamos esta funcionalidad de las alertas para incluir también las acciones de casos.

¿Qué más?

Además de las capacidades de SOAR, Elastic 8.4 incluye varias mejoras de ingeniería de detección, entre ellas:

• Detección fácil de nuevas entidades que aparecen en los datos de logs: presentamos un nuevo tipo de regla que alerta a los usuarios cuando se encuentra un término desconocido en sus fuentes de datos. Cuando un documento se ingesta y contiene un valor de campo diferente a lo que apareció durante un período específico (por ejemplo, los últimos 7 días), esta regla generará una alerta. La aparición de un host, una dirección IP o un nombre de usuario nuevos puede indicar un cambio en el entorno que podría valer la pena examinar.
• Excepciones de la regla ampliadas con soporte de comodín: mayor flexibilidad/configuración más fácil de excepciones. Un operador nuevo (matches) se introdujo al configurar excepciones, lo que permite a los usuarios aprovechar las expresiones con comodines (y "?" para la coincidencia con un solo carácter).
• Habilitar la recopilación de datos de productos de seguridad líderes: Elastic 8.4 presenta varias integraciones nuevas con un clic en Elastic Agent para incorporar, analizar y visualizar con facilidad los datos de fuentes de datos de seguridad. Las integraciones nuevas incluyen Azure Firewall, Cisco Identity Service Engine, Cisco Secure Email Gateway, Citrix Web Application Firewall, Mimecast, Proofpoint TAP y SentinelOne. Nuestra integración de firewall de próxima generación de Palo Alto también se actualizó e incluye soporte para PAN-OS 10.x y todos los tipos de logs.

Para ver una lista completa, consulta nuestras notas de lanzamiento detalladas.

Pruébalo

Los clientes existentes de Elastic Cloud pueden acceder a muchas de estas características directamente desde la consola de Elastic Cloud. Si eres nuevo en Elastic, echa un vistazo a nuestras guías de inicio rápido (videos de capacitación breves para que puedas dar los primeros pasos rápido) o nuestros cursos de capacitación gratuitos sobre conceptos básicos. Siempre puedes comenzar sin costo con una prueba gratuita de 14 días de Elastic Cloud. O descarga la versión autogestionada del Elastic Stack de forma gratuita.

Lee sobre estas capacidades y más en las notas de lanzamiento de Elastic Security Solution 8.4.0, y otros aspectos destacados del Elastic Stack en el blog de anuncio de Elastic 8.4.

El lanzamiento y el plazo de cualquier característica o funcionalidad descrita en este blog quedan a la entera discreción de Elastic. Cualquier característica o funcionalidad que no esté disponible actualmente puede no entregarse a tiempo o no entregarse en absoluto.