Elastic 9.4 : Workflows en DG, mises à jour d'Agent Builder et prise en charge de Prometheus/PromQL

Elastic 9.4 propose une plateforme Elasticsearch qui a gagné en capacité sur quatre dimensions : l'automatisation et l'orchestration, l'expressivité du langage de requête, les expériences d'IA natives pour les analystes et l'infrastructure de gouvernance et de conformité requise par les déploiements d'entreprise.  

Elastic Workflows est désormais en disponibilité générale. Workflows est la couche d'automatisation et d'orchestration qui connecte Elastic à l'environnement opérationnel global, permettant aux équipes de déclencher des actions dans des systèmes externes, de coordonner des processus en plusieurs étapes et d'assurer la cohérence entre les détections de la plateforme et les actions qu'elle entreprend. Les équipes qui utilisent Agent Builder trouveront en Workflows un complément idéal : Agent Builder définit les connaissances et les capacités de raisonnement d'un agent, tandis que Workflows définit ses actions.

ES|QL, le principal langage de requête par pipes d'Elastic, continue de progresser avec la version 9.4, ajoutant cinq nouvelles fonctionnalités, toutes en préversion technique, notamment :

• Les Sous-requêtes permettent aux analystes d'exécuter et de combiner des pipelines indépendants dans une seule instruction, éliminant ainsi le besoin de rassembler manuellement les résultats de plusieurs requêtes.

• Les requêtes approximatives sacrifient une légère précision d'agrégation au profit de temps de réponse considérablement plus rapides sur les grands ensembles de données, avec des indicateurs de confiance permettant aux analystes de toujours savoir dans quelle mesure ils peuvent se fier au résultat.

• Les vues logiques permettent aux équipes de définir une fois pour toutes une logique de requête complexe et de la réutiliser en tant que source de données nommée dans les tableaux de bord, les alertes et les requêtes ad hoc.

• L'extraction de fonction JSON extrait des éléments spécifiques de n'importe quel champ mappé JSON ou document source brut à l'aide d'une notation de chemin standard : aucune réindexation ou changement de pipeline n'est nécessaire.

• L'accès à tous les champs ingérés élimine le risque lié au "seuil d'ignorance", ce qui permet aux équipes d'effectuer des requêtes complètes sur toutes les données ingérées.

Découvrez les nouveautés d’ES|QL.

Avec Elastic 9.4, Kibana devient de plus en plus IA natif. La création de tableaux de bord optimisée par l'IA (préversion technique) permet aux analystes de décrire ce qu'ils souhaitent visualiser en langage naturel et d'observer Kibana le construire de manière itérative, en conversation, sans configuration manuelle. En outre, les tableaux de bord sous forme de code (préversion technique) offrent aux équipes de plateforme une fonctionnalité complémentaire : des tableaux de bord gérés comme des ressources versionnées et vérifiables par code, déployés via des pipelines CI/CD, qui remplacent intégralement le workflow fragile (et désormais obsolète) d'exportation/importation d'objets enregistrés. Ensemble, ces nouvelles fonctionnalités témoignent de l'évolution continue de Kibana vers un espace de travail plus intelligent et collaboratif.

Elastic 9.4 apporte également des améliorations significatives aux équipes d'exploitation et de conformité chargées de garantir l'intégrité, l'auditabilité et la sécurité de la plateforme. Voici quelques-unes des améliorations notables, toutes en disponibilité générale :

• L'activité de requête dans Kibana offre aux administrateurs une visibilité instantanée sur chaque requête de longue durée avec son origine et la possibilité de l'annuler en un clic.

• Les logs d'analyse des recherches étendent la trace d'audit à chaque requête sur DSL, ES|QL, EQL et SQL, en capturant la latence, l'origine de la requête et le corps complet de la requête sans configuration requise.

• L'authentification par utilisateur pour les connecteurs Kibana remplace les identifiants de compte de service partagé par l'identité de chaque utilisateur, offrant ainsi aux équipes de conformité des pistes d'audit précises et fiables pour toutes les intégrations.

• La conformité FIPS 140-3, désormais en disponibilité générale pour Elasticsearch et Kibana, offre une couverture complète de la pile avant la date limite de septembre 2026, avec un chemin de mise à niveau propre et sans migration de données.

Pour plus de détails, consultez les articles de blog mentionnés ci-dessus, ainsi que les notes de publication d'Elasticsearch Platform 9.4.

Elastic 9.4 offre aux développeurs qui créent des agents IA avec Elasticsearch davantage de ce qu'exige la production : un contrôle plus strict sur les connaissances des agents et leur mode d'action, une visibilité plus approfondie sur leurs performances et une meilleure rentabilité pour les charges de travail vectorielles sous-jacentes.

DiskBBQ, le meilleur algorithme d'indexation et de recherche vectorielle d'Elastic, a été amélioré dans Elasticsearch 9.4. Parmi les nombreuses améliorations, la latence des requêtes a été réduite d'au moins 3 fois pour les requêtes avec des filtres restrictifs et les performances des comparaisons vectorielles ont été optimisées (grâce à l'utilisation accrue de code natif), ce qui a un impact sur l'indexation et la recherche. De plus, il est désormais possible d'utiliser BBQ pour quantifier les vecteurs avec des éléments de deux, quatre et sept bits, ce qui permet un meilleur rappel lorsqu'un seul bit est insuffisant. Ensemble, ces mises à jour contribueront à garantir un équilibre optimal entre vitesse et rentabilité pour vos charges de travail d'IA en production.

L'indexation vectorielle accélérée par GPU, initialement proposée en préversion technique dans Elastic 9.3, est maintenant en disponibilité générale. Grâce à l'intégration de NVIDIA cuVS, une bibliothèque open source dédiée à la recherche vectorielle et au clustering de données accélérés par GPU, dans Elasticsearch, les clients Elastic autogérés peuvent bénéficier d'une amélioration jusqu'à 12 fois supérieure du débit d'indexation et à une fusion forcée 7 fois plus rapide.

Un nouvel assistant conversationnel guide les développeurs de l'idée à la mise en œuvre fonctionnelle de la recherche dans Cursor, Claude Code et Kibana. Il vous interroge sur votre projet, analyse vos données, recommande l'approche la plus adaptée, vous accompagne dans le mapping et l'indexation, et génère une implémentation fonctionnelle, en présentant proactivement les concepts d'Elasticsearch à chaque étape. Pour les équipes qui développent leur première application de recherche ou qui prototypent un nouveau cas d'utilisation, cet assistant remplace des heures de lecture de documentation par quelques minutes de développement guidé.

De nouveaux modèles LLM sont désormais disponibles en tant que connecteurs entre les différentes versions de la pile. Parallèlement, Elastic 9.4 instaure une gestion unifiée et centralisée des inférences au sein de l'écosystème Elastic, permettant ainsi de gérer en un seul endroit les points de terminaison, les modèles et les connecteurs d'inférence pour l'ensemble de vos workflows de recherche et d'IA.

Pour plus de détails, consultez l'article de blog mentionné ci-dessus, ainsi que les notes de publication Search & AI 9.4.

Les charges de travail d'IA, l'expansion de Kubernetes et la prolifération des microservices ont fait exploser le volume des métriques, passant de millions d'événements de séries temporelles à des centaines de millions. Les ingénieurs SRE doivent désormais corréler un nombre croissant de signaux à forte cardinalité, de services et d'infrastructures éphémères, et ce, dans des délais toujours plus courts. Les outils existants aggravent la situation : sur Datadog, les métriques personnalisées représentent en moyenne 52 % de la facture, obligeant les équipes à supprimer les étiquettes à forte cardinalité pour respecter leur budget, puis à rechercher ces étiquettes précises en plein incident. Sur Prometheus et Grafana, la cardinalité continue de dégrader les performances, les logs et les métriques sont stockés dans des backends distincts, et la corrélation d'un seul horodatage implique de jongler entre deux langages de requête. Dans tous les cas, les équipes se retrouvent démunies au pire moment.

Elastic Observability 9.4 met les métriques au même niveau de qualité que celui appliqué par les équipes pour l'analyse des logs. Elasticsearch est désormais la plateforme la plus rapide pour les exécuter : 25 fois plus rapide que Prometheus, 2,6 fois plus efficace en termes de stockage et deux fois moins cher que Datadog, sans limite de cardinalité ni pénalité pour les métriques personnalisées. La prise en charge native de PromQL dans Kibana garantit le fonctionnement des requêtes, tableaux de bord et règles d'alerte existants, sans modification.

La version 9.4 introduit également les premières fonctionnalités d'investigation automatisée dans Elastic Observability. Kubernetes est le premier à proposer un workflow piloté par l'IA qui aide les ingénieurs SRE à identifier la cause première avant même d'ouvrir un tableau de bord.

Les skills d'agent sont des packages open source qui confèrent à votre agent de codage IA une expertise native d'Elastic Observability, lui permettant d'exécuter de véritables workflows d'observabilité au sein d'Elastic. Cette version couvre cinq workflows essentiels utilisés quotidiennement par les ingénieurs SRE et les développeurs :

• Instrumentation des applications avec OpenTelemetry

• Logs de recherche

• Gérer les SLO

• Évaluer la santé des services

• Monitoring des applications LLM

Ces tâches requièrent une bonne connaissance des API, des modèles d'indexation et des workflows Kibana. Pour les connaissances métier, souvent sujettes à interprétation et fastidieuses à reproduire dans chaque service et environnement, les skills d'agent les regroupent en unités réutilisables pour une exécution cohérente et précise.

En outre, tous les packages de skills sont accessibles dans le référentiel de skills d'agent afin que vous puissiez commencer à développer dès aujourd'hui.

Et, au cas où vous l'ignoreriez, le point de terminaison OTLP géré est maintenant en disponibilité générale sur Elastic Cloud Hosted, offrant aux équipes un moyen simple d'envoyer des données OpenTelemetry (logs, métriques et traces) directement dans Elastic. Le déploiement ou l'exploitation de collecteurs pour une ingestion de base n'est pas nécessaire, réduisant ainsi la charge de gestion. Cela facilite l'adoption d'OpenTelemetry, accélère l'intégration des données et réduit les coûts de maintenance liés à une couche de collecteurs autogérée.

Pour plus de détails, consultez les articles de blog mentionnés ci-dessus, ainsi que les notes de publication d'Elastic Observability 9.4.

Elastic 9.4 fait progresser la sécurité selon cinq dimensions : l'automatisation native des workflows qui élimine le besoin d'un outil SOAR autonome, les capacités de gestion des données et de conformité qui assurent la fiabilité de cette automatisation, les skills d'agents IA spécialement conçus qui apportent une intelligence SOC multi-étapes au triage des alertes, à la chasse aux menaces et à l'investigation, une nouvelle approche de l'analyse des entités qui résout le bruit lié aux identités au niveau de l'architecture, et des capacités forensiques étendues sur les points de terminaison pour les équipes d'investigation et de réponse.

À la suite des annonces concernant Elastic Workflows, précisons que l'automatisation n'est fiable que si les données sous-jacentes sont complètes et que l'accès est correctement contrôlé. Elastic 9.4 répond à ces deux problématiques grâce à :

• La gestion granulaire des autorisations de détection et d'alerte, maintenant en disponibilité générale, permet aux équipes de sécurité de configurer des contrôles d'accès distincts pour les règles de détection et les alertes. Ainsi, les analystes juniors peuvent trier et mettre à jour les alertes sans modifier la logique des règles de détection principales.

• SIEM Readiness : visibilité, santé et couverture des données, disponible en préversion technique, offre une vue centralisée et mise à jour en continu de l'état de santé des données au sein d'Elastic Security. Cette fonctionnalité évalue la couverture, la qualité, la continuité et la conservation des données pour cinq catégories de logs (points de terminaison, identité, réseau, cloud et applications/SaaS), permettant ainsi aux équipes de s'assurer en permanence que leurs données sont correctement structurées pour prendre en charge les détections actives.

Elastic 9.4 introduit cinq skills dédiés à l'agent Elastic AI, lui conférant une expertise approfondie des workflows SOC les plus importants : triage des alertes, création de règles de détection, investigation des entités, chasse aux menaces et analyse des anomalies. Deux skills de plateforme, la gestion de tableaux de bord et la création de graphes, sont également disponibles pour l'agent Elastic AI, en plus des skills spécifiques à la sécurité. La création de workflow est une fonctionnalité expérimentale dans la version 9.4. L'agent Elastic AI peut invoquer plusieurs skills en séquence, passant de la chasse aux menaces à l'optimisation de la détection et à la création de workflow au cours d'une seule enquête. D'autres skills dans le domaine de la sécurité sont en cours de développement, notamment l'émulation de détection, l'analyse binaire et la déduplication des alertes.

Elastic 9.4 résout le problème du bruit d'identité au niveau du modèle de données grâce à l'analyse des entités, non pas avec davantage de tableaux de bord, mais avec quatre nouvelles fonctionnalités en disponibilité générale qui offrent aux analystes un enregistrement faisant autorité par personne, avec des risques agrégés et un contexte :

• L'identification précise des entités unifie des logs disparates en profils d'identité vérifiés et fiables pour les utilisateurs, les hôtes et les services, régis automatiquement au niveau de la plateforme, et non par l'analyste.

• Résolution d’entités consolide les comptes numériques fragmentés — Okta, Entra, Active Directory — en un seul enregistrement unifié par employé.

• Les listes de surveillance dynamiques ajoutent des multiplicateurs de score de risque aux entités à forte valeur (cadres supérieurs, administrateurs privilégiés, utilisateurs en période de préavis ou toute autre catégorie prioritaire définie par votre équipe), faisant ainsi du contexte organisationnel un élément essentiel de l'évaluation des risques.

• Les pistes de chasse pilotées par les entités font passer la chasse d'une approche réactive à une approche proactive en faisant apparaître des pistes basées sur les risques adaptées aux modèles comportementaux réels de votre environnement avec un contexte narratif, et non une page blanche.

Elastic 9.4 étend la profondeur et la portée de l'investigation des points de terminaison, de l'exécution de scripts à distance à l'analyse forensique de la mémoire multiplateforme en passant par des workflows Osquery repensés, grâce à quatre nouvelles fonctionnalités en disponibilité générale :

• L'action de réponse Runscript et la bibliothèque de scripts permettent aux analystes d'exécuter des scripts à distance sur des points de terminaison directement depuis la console de réponse ou en tant qu'action de règle automatisée soutenue par une bibliothèque centralisée de scripts réutilisables et standardisés, permettant une remédiation cohérente, un triage forensique personnalisé et des opérations à l'échelle MSSP.

• L'action de réponse de vidage mémoire pour Linux étend l'analyse forensique de la mémoire multiplateforme à Linux, permettant l'acquisition de la mémoire des processus sur les principaux systèmes d'exploitation depuis Elastic Security sans outil externe pour les logiciels malveillants sans fichier, les attaques résidant en mémoire et l'extraction d'artefacts d'exécution.

• Les améliorations d'Osquery offrent une expérience entièrement repensée avec une page d'historique unifiée, des vues de résultats améliorées, ainsi qu'une recherche et un filtrage avancés, comblant les lacunes d'utilisabilité et améliorant l'efficacité des analystes à grande échelle.

• Les extensions de table Osquery Jumplists et les packs de requêtes forensiques fournissent des requêtes préconfigurées qui ciblent l'historique du navigateur, Amcache et les Jumplists, offrant ainsi aux équipes des artefacts forensiques prêts à l'emploi pour reconstituer les chronologies d'activité des utilisateurs et le comportement des pirates.

Consultez les notes de publication d'Elastic Security 9.4 pour plus de détails sur ces fonctionnalités.

Il se passe beaucoup de choses chez Elastic entre deux versions, et l'intervalle entre Elastic 9.3 et Elastic 9.4 n'a pas fait exception. Pour les lecteurs qui auraient manqué certaines annonces importantes, voici une brève liste des points à retenir :

• Elastic AutoOps est désormais gratuit ! Elastic AutoOps apporte des diagnostics et des informations opérationnelles directement à votre environnement, transformant ainsi votre façon de gérer Elasticsearch, sans frais supplémentaires.

• La recherche interprojets est désormais disponible en préversion technique. Interrogez simultanément plusieurs projets Elastic Cloud Serverless depuis une interface unique, sans compromettre l'isolation ni les limites de sécurité au niveau des projets.

• Des clés API unifiées pour Elastic Cloud Serverless et Elasticsearch sont désormais disponibles. Utilisez une seule clé API pour gérer à la fois les requêtes d'infrastructure et de données entre les projets avec des contrôles d'autorisation précis intacts.

• Les nouveaux profils matériels basés sur ARM offrent un meilleur rapport prix-performances : jusqu'à 40 % d'amélioration sur les charges de travail optimisées pour le stockage avec Graviton4 et jusqu'à 25 % d'amélioration sur les charges de travail gourmandes en ressources processeur avec Axion.

• L'expansion d'Elastic Cloud Serverless se poursuit : avec des ajouts récents sur Azure, AWS et Google Cloud, Elastic Cloud Serverless est désormais disponible dans 29 régions à travers le monde.

Avec une multitude de fonctionnalités de plateforme percutantes, nouvelles et améliorées, telles qu'Agent Builder et Workflows, des avancées significatives dans nos capacités de traitement des séries temporelles, et bien d'autres nouveautés, Elastic 9.4 est prêt à vous aider, vous et votre organisation, à transformer les données en réponses, actions, et résultats.

Alors… qu'attendez-vous ? Elastic 9.4 est désormais disponible sur Elastic Cloud, le service Elasticsearch hébergé qui propose toutes les nouvelles fonctionnalités de cette dernière version.