Elastic Stack 7.4.0 Released | Elastic Blog
Sorties

Lancement de la Suite Elastic 7.4.0

Nous sommes ravis d'annoncer la disponibilité générale de la Suite Elastic 7.4. Cette version 7.4 siffle le coup d'envoi d'un grand nombre de nouvelles fonctionnalités qui simplifient le lancement et l'administration des clusters, intègrent de nouvelles capacités d'agrégation et de machine learning et renforcent la sécurité de la Suite. Côté solutions, Elastic SIEM apporte des améliorations aux workflows des opérations de sécurité : l'analyse géospatiale s'appuie désormais sur des cartes en temps réel, et 13 nouvelles tâches de machine learning prédéfinies permettent la détection d'un grand nombre de menaces de sécurité que les seules règles n'étaient pas en mesure de repérer.

La version 7.4 est d'ores et déjà disponible via Elasticsearch Service sur Elastic Cloud – la seule offre Elasticsearch hébergée à proposer ces nouvelles fonctionnalités. Et si vous préférez une expérience autogérée, vous pouvez aussi choisir de télécharger la Suite Elastic.

La présentation complète des fonctionnalités est disponible dans les articles de blog dédiés. Mais sans plus tarder, voici les grandes fonctionnalités de cette nouvelle version.

Gestion du cycle de vie des snapshots : et la sauvegarde des données devient plus simple que jamais

Les snapshots et la restauration sont le meilleur moyen de sauvegarder (et de restaurer) vos données Elasticsearch. Il s'agit d'une étape essentielle pour quasiment tous les déploiements. Dans cette version 7.4, nous lançons la gestion du cycle de vie des snapshots. Celle-ci permet aux administrateurs de définir des règles qui se chargeront de gérer le moment et la fréquence des snapshots. Si vous devez restaurer les données suite à un sinistre ou pour toute autre raison, vous êtes ainsi assuré de disposer des sauvegardes récentes et adaptées.

Associée à la fonctionnalité de gestion du cycle de vie des index lancée dans la version 6.7, la gestion du cycle de vie des snapshots simplifie considérablement l'exploitation des clusters de production. Avec ces fonctionnalités natives directement intégrées à la Suite Elastic, les administrateurs sont moins dépendants des outils externes et des tâches cron, gagnent en fiabilité et en visibilité, et peuvent se consacrer à la définition des règles de protection des données essentielles à leur entreprise. Bien que nous soyons toujours des inconditionnels de l'API-First, nous sommes ravis de proposer une interface utilisateur pour la gestion du cycle de vie des snapshots (accessible via l'interface de sauvegarde et de restauration de Kibana).

screenshot-elasticsearch-slm-policy-7-4-0.png

Pour tout savoir sur le sujet, consultez l'article de blog dédié à Elasticsearch.

Elastic Maps et Elastic SIEM : à vos sabres laser ! Une carte des cybermenaces conçue pour les analystes

Quiconque a déjà visité un data center sait que les cartes des cybermenaces, avec leurs faisceaux multicolores dignes des sabres laser de Star Wars, sont un plaisir pour les yeux. (En anglais, on les surnomme d'ailleurs parfois "pew pew maps", en référence au son qu'émettent les sabres laser dans le film culte.) Avec la version 7.4, l'application SIEM intègre une carte basée sur les données actives, que les analystes peuvent filtrer, explorer, et dans laquelle ils peuvent lancer des recherches en temps réel. Mais si elle arrache des cris d'admiration aux visiteurs des data centers, elle n'en demeure pas moins un outil de sécurité conçu pour les analystes. Dans Elastic SIEM, l'emplacement géographique devient un attribut qui permet aux analystes de gagner en visibilité et de porter un regard averti sur l'état des cybermenaces.

screenshot-siem-maps-pew-pew-7-4-0.png

"Depuis que nous l'avons adoptée, le nombre de sources de données de log que nous ingérons dans la Suite Elastic ne cesse d'augmenter. Notre équipe de sécurité peut rapidement rechercher et visualiser l'ensemble de nos données de sécurité, pour y mener des investigations interactives et efficaces. Tout cela, directement depuis Kibana", déclare Wieger van der Meulen, IT Security Manager chez Leaseweb Global B.V. "De plus, les fonctionnalités Machine Learning de la Suite Elastic assurent la détection automatique des comportements inhabituels dans notre infrastructure. Avec toutes les nouvelles tâches de machine learning intégrées à la version 7.4 de l'application SIEM, nous comptons bien mettre en place un ensemble encore plus complet détections des anomalies. L'adoption d'Elastic SIEM nous a permis de réagir bien plus rapidement aux incidents et de prendre les mesures appropriées pour limiter les risques."

La carte des cybermenaces s'appuie directement sur Elastic Maps : elle bénéficie donc des nombreuses années que nous avons consacrées à l'analyse géospatiale et aux fonctionnalités de recherche. Autre nouveauté Elastic Maps dans la version 7.4 : la fonctionnalité de liaison point à point, qui permet de visualiser d'un coup d'œil les relations qui existent entre les données. Avec l'intégration d'Elastic Maps dans l'application SIEM, les utilisateurs bénéficient de cette nouvelle fonctionnalité point à point, mais aussi des améliorations que nous ne cessons d'apporter à Elastic Maps.

Pour en savoir plus, n'hésitez pas à consulter l'article de blog dédié à Elastic SIEM.

Machine Learning : toujours un tour de plus que la veille dans son sac

Dans la version 7.3, nous avions introduit les transformations de données, afin que les utilisateurs puissent réorganiser à chaud leurs données Elasticsearch dans de nouveaux index centrés sur les entités. Cette fonctionnalité "transformatrice" (c'est le cas de le dire) sert de socle à un ensemble de méthodes d'analyse et de machine learning innovantes, comme la détection des aberrations, la régression, la classification, et plus encore. Nous sommes donc ravis de concrétiser cette vision dans la version 7.4, et d'enrichir Machine Learning d'API dédiées à l'analyse de régression et d'une interface utilisateur de détection des aberrations.

Et pour vous permettre de créer, de gérer et d'afficher vos tâches de détection des aberrations, l'application Machine Learning de Kibana intègre maintenant un nouvel onglet "Analytics" (Analytique).

screenshot-elasticsearch-machine-learning-analytics-tab-7-4-0.png

"Pour mon équipe, l'application Machine Learning d'Elastic est un outil essentiel : c'est un véritable accélérateur, qui nous permet de traiter un volume exponentiel de données, que nous n'aurions jamais pu gérer autrefois", affirme Jonathon Robinson, Fraud Intelligence Manager chez PSCU. "Nous avons tout de suite utilisé Machine Learning pour détecter des activités frauduleuses. Au bout de 15 jours, nous avions déjà réalisé des économies considérables. Et au cours du seul mois dernier, nous avons économisé des millions de dollars pour nos coopératives de crédit."

Et ce n'est pas tout. Outre ces deux nouvelles méthodes, nous lançons aussi plusieurs tâches de machine learning prêtes à utiliser (13, très exactement). Intégrées à Elastic SIEM, elles vous permettent de détecter des menaces de sécurité qui affectent couramment les réseaux, ainsi que les données relatives à l'activité de l'hôte collectées par Auditbeat. Citons par exemple la détection des processus anormaux, ou encore celle des activités de port réseau inhabituelles.

Pour tout savoir sur le sujet, consultez l'article de blog dédié à Elasticsearch.

Une observabilité plus détaillée

Dans la version 7.4, nous avons considérablement renforcé l'instrumentation automatique d'Elastic APM : les agents APM vont désormais plus loin et soutiennent une expérience de type "plug-and-play" pour les frameworks de programmation les plus courants. Parmi ces nouveautés, citons notamment la compatibilité de l'agent RUM avec Angular, ou celle de l'agent .NET avec .NET Framework, qu'on rencontre tous deux couramment dans les applications d'entreprise existantes. Par ailleurs, nous avons aussi capitalisé sur les données de géolocalisation RUM lancées dans la précédente version, et avons ajouté à l'interface utilisateur d'APM un affichage détaillé des performances par zone géographique, ce qui vous permet d'isoler les problèmes spécifiques à certaines régions pour les résoudre plus rapidement. Enfin, les filtres structurés de l'interface utilisateur d'Elastic APM permettent aux analystes de rechercher les données de trace encore plus rapidement, ce qui se traduit par une accélération des cycles de résolution. Pour en savoir plus, jetez un œil à l'article de blog consacré à la nouvelle version d'Elastic APM.

À chaque nouvelle version, la Suite Elastic vous propose de nouvelles façons de monitorer automatiquement l'intégrité de votre infrastructure et de vos services stratégiques. Avec la version 7.4, vous pouvez désormais ingérer des indicateurs depuis un plus grand nombre de services AWS, y compris Elastic Load Balancer (ELB), Elastic Block Storage (EBS) ou encore les statistiques CloudWatch. Autre nouveauté : la possibilité de lire des logs de serveur directement depuis Amazon S3. Nous avons aussi boosté les capacités de monitoring Kubernetes grâce à de nouveaux indicateurs pour les tâches planifiées, et intégré un nouveau module StatsD pour la collecte des indicateurs personnalisés qui utilisent ce format courant. Le monitoring de base de données n'est pas non plus en reste. Il passe à la vitesse supérieure, et intègre un grand nombre de nouveaux ensembles d'indicateurs, ainsi que des tableaux de bord par défaut optimisés pour des datastores comme Oracle, Prometheus et Postgres. Et pour finir, l'analyse de logs est maintenant compatible IBM MQ, puisqu'il s'agit d'une plateforme de messagerie essentielle à bon nombre d'applications d'entreprise. Pour en savoir plus, n'hésitez pas à consulter les articles de blog consacrés aux nouvelles versions d'Elastic Infrastructure et d'Elastic Log.

infrastructure-7-4-0-blog-metricbeat-dashboards.gif

Authentification PKI dans Kibana

Le modèle de sécurité de Kibana ne cesse d'évoluer pour vous offrir de nouveaux moyens d'accès sécurisés. Après de formidables lancements comme celui des commandes de fonctionnalité dans la version 7.2, ou encore la compatibilité Kerberos dans la version 7.3, nous continuons sur notre lancée, et sommes ravis d'annoncer la prise en charge d'une autre méthode d'authentification que vous étiez très nombreux à réclamer. J'ai nommé l'authentification PKI (Public Key Infrastructure, ou infrastructure à clés publiques), qui est maintenant officiellement prise en charge dans la version 7.4. Notre communauté utilise très largement ce type de chiffrement, par exemple dans les secteurs financier, médical, gouvernemental ou militaire, pour n'en citer que quelques-uns.

Jusqu'ici, il était possible d'utiliser l'authentification PKI avec Kibana derrière un proxy. Mais la version 7.4 vient simplifier ces architectures. Avec la prise en charge native de l'authentification PKI, les utilisateurs peuvent maintenant se connecter à Kibana via des certificats clients X.509 et un système de chiffrement bidirectionnel. Voilà qui ouvre de nouveaux horizons en matière d'accès sécurisé à Kibana. Depuis les autorisations générales par certificat client jusqu'aux cartes d'accès physiques de type carte à puce ou carte d'identité, avec Kibana, tout est possible. Envie d'en savoir plus ? Notre documentation vous explique comment vous lancer.

En savoir plus