Sorties

Lancement de la Suite Elastic 7.3.0

Nous sommes ravis d'annoncer le lancement de la version 7.3 de la Suite Elastic. D'autant que c'est encore un bon cru.

Dans ce blog, nous allons survoler quelques-unes des grandes nouveautés. Pour tout savoir sur un produit donné et ses nouveautés, n'hésitez pas à consulter l'article de blog qui lui est consacré. Trop impatient d'essayer ? Sachez que la version 7.3 est d'ores et déjà disponible via Elasticsearch Service – la seule offre Elasticsearch hébergée à proposer ces nouvelles fonctionnalités. Si vous préférez télécharger la Suite Elastic, c'est par ici.

Et ces nouveautés, me direz-vous ? Les voici.

Vue matérialisée, index centrés sur les entités... Bienvenue dans les trames de données

Les trames de données ont fait leur entrée. Il s'agit d'une nouvelle fonctionnalité, qui vous permet de réorganiser vos données Elasticsearch à la volée, pour créer des index dynamiques centrés sur les entités. C'est une fonctionnalité passionnante, qui ouvre de nouveaux horizons à l'analyse, y compris aux nouvelles fonctionnalités d'analyse de Machine Learning, comme le clustering, la classification, ou encore la détection de données aberrantes (que nous venons d'ajouter comme fonctionnalité expérimentale dans la version 7.3).

Mais prenons un exemple. Cela vous permettra de mieux cerner toute la puissance de cette fonctionnalité. Imaginons que vous deviez rechercher des adresses IP suspectes dans les logs de votre serveur web. Par exemple, vous pouvez rechercher le nombre de requêtes envoyées, les codes de réponse obtenus et le volume total des données transmises pour chaque adresse IP. C'est là que les trames de données entrent en jeu : elles vous permettent de créer un nouvel index centré sur l'entité, avec un document par adresse IP unique, qui effectue le suivi de chacun des indicateurs qui vous intéresse – à savoir, dans notre exemple : le nombre total de requêtes, le nombre de réponses classées par état de la réponse, et le nombre total d'octets transmis. Cerise sur le gâteau : les trames de données sont compatibles avec le traitement continu. Autrement dit, cet index transformé axé sur l'entité est automatiquement mis à jour, à mesure que de nouveaux documents sont ajoutés à l'index d'entrée.

dataframes.gif

Avec les trames de données, nous avons développé un moteur ultrapuissant, qui vous permet transformer vos données pour de nouveaux types d'analyse. Ces réorganisations dynamiques ne sont que les premières transformations que les trames de données rendent possibles. Nous sommes impatients de vous annoncer d'autres transformations, qui viendront étendre le concept de trames de données à d'autres cas d'utilisation.

En savoir plus sur les trames de données.

Parce que les règles ne suffisent pas, Elastic SIEM intègre la détection des anomalies

Nous avions lancé notre solution SIEM avec la version 7.2, et depuis, nous y avons travaillé sans relâche.

Les règles à elles seules permettent rarement d'arrêter les intrus. Dans la version 7.3, nous avons donc amélioré les workflows de détection et de recherche de menaces d'Elastic SIEM. Comment ? En intégrant directement nos fonctionnalités de machine learning au cœur de l'application SIEM. Les utilisateurs peuvent désormais activer et exécuter un ensemble de tâches de machine learning dédiées à la détection des anomalies et conçues pour déceler des comportements de cyberattaque spécifiques. Le tout, directement depuis l'application SIEM. Les anomalies détectées s'affichent dans les vues "Hosts" (Hôtes) et "Network" (Réseau) de l'application SIEM.

02-elasticsearch-siem-machine-learning-7-3-0-blog.png

Et pour aller plus loin que les tâches prédéfinies, vous pouvez aussi créer des tâches personnalisées de détection des anomalies via l'application Machine Learning.

Avec cette intégration, exploiter le machine learning pour la détection des comportements malveillants devient plus simple que jamais. L'article de blog consacré au lancement d'Elastic SIEM vous dit tout.

Elastic Maps passe en disponibilité générale

Les données géographiques ont toujours fait partie des composants essentiels de la recherche : qu'il s'agisse de rechercher la source des attaques que subit un réseau, de diagnostiquer la lenteur des temps de réponse dans une région donnée, d'effectuer le suivi de camions de livraison en temps réel, ou simplement de trouver la meilleure pizzeria à proximité. C'est pourquoi, depuis le début (c'est-à-dire depuis la version 0.9.1 !), nous ne cessons de doper la rapidité, la puissance et l'efficacité des fonctionnalités géospatiales de la Suite Elastic.

Nous avons ainsi lancé Elastic Maps en bêta dans la version 6.7. Objectif : rendre l'exploration et la compréhension des données géospatiales de Kibana plus intuitives et plus interactives. Ce faisant, nous jetions des bases robustes pour la suite. Avec cette version 7.3, nous sommes heureux d'annoncer que Maps est maintenant prêt pour la production.

02-elasticsearch-elastic-maps-suricata-events-7-3-0.png

Mais ce n'est pas tout : Elastic Maps fait aussi le plein de nouvelles fonctionnalités. Parmi elles, la possibilité d'importer des fonctionnalités, des formes et des couches dans vos cartes depuis des fichiers GeoJSON. Autre nouveauté qui booste l'expérience utilisateur : la possibilité de créer des icônes personnalisées et de visualiser le dernier emplacement connu.

Pour tout savoir sur Maps, consultez l'article de blog qui lui est consacré. J'avoue que nous sommes très fiers d'avoir franchi ce nouveau cap avec Elastic Maps. Nous attendons avec impatience que vous découvriez les nouvelles fonctionnalités de la version 7.3, mais aussi celles que nous sommes en train de vous concocter pour des versions ultérieures.

Et ce n'est pas tout

Loin de là. N'hésitez donc pas à consulter les articles de blog que nous consacrons à chaque produit pour découvrir toutes les nouveautés de la version 7.3. Par exemple :

  • Elasticsearch introduit les nœuds maîtres "voting-only" (c'est-à-dire des nœuds maîtres qui ne peuvent que voter sans pouvoir être élus) ; s'enrichit de l'agrégation tant attendue des termes rares ; propose une nouvelle interface utilisateur de gestion des instantanés et de la restauration ; prend en charge la mise à jour dynamique des synonymes, et bien plus encore. Pour tout savoir sur la nouvelle version d'Elasticsearch, consultez l'article de blog dédié.
  • Kibana prend désormais en charge Kerberos, la saisie semi-automatique, et KQL pour le filtrage des agrégations, mais aussi les modèles de présentation Canvas pour faciliter la création de superbes affichages. Et on est loin de vous avoir tout dit.
  • Beats est compatible avec une pléthore de nouvelles sources de données. Citons les bases de données relationnelles comme Oracle et Amazon RDS, les indicateurs Kubernetes kube-proxy, kube-scheduler et kube-controller-manager, la prise en charge de flux réseau pour les logs de flux VPC de GCP, ou encore l'amélioration de la prise en charge d'Amazon Cloudwatch et des flux de données Amazon Kinesis avec Functionbeat. Pour en savoir plus, découvrez l'article de blog consacré à la nouvelle version de Beats.
  • Logstash est désormais compatible JMS par défaut.
  • L'agent .NET d'Elastic APM passe en disponibilité générale. De plus, Elastic APM propose une nouvelle façon d'afficher les services, avec des tableaux de répartition des services, ou encore la configuration du taux d'échantillonnage de l'agent directement depuis Kibana, pour ne citer qu'une infime partie des nouveautés.
  • Elastic Uptime améliore l'apparence des moniteurs multisites et affiche des informations récapitulatives et détaillées sur les moniteurs.
  • Elastic Logs permet la mise en surbrillance de mots-clés et donne la possibilité de passer directement à certaines traces APM en fonction de leur identifiant trace.id.
  • Dans l'application Elastic Infrastructure, Metrics Explorer, qui vous permet de créer des visualisations d'agrégation à partir d'indicateurs de séries temporelles, est maintenant prêt pour les systèmes de production. L'application Elastic Infrastructure, quant à elle, propose un monitoring optimisé, et prend en charge de nouveaux services Kubernetes stratégiques, ainsi qu'un nouvel ensemble d'indicateurs RDS dans le module AWS. Envie d'en savoir plus ? Découvrez l'article de blog consacré à la nouvelle version d'Elastic Infrastructure.

En espérant que vous prendrez autant de plaisir à découvrir ces nouveautés que nous en avons eu à les créer.