Automatisation native avec Elastic Workflows – aucun SOAR requis

Elastic Workflows, actuellement en préversion technique, intègre l'automatisation native à Elastic Security, la plateforme d'opérations de sécurité basée sur les agents qui inclut déjà un SIEM et un XDR unifiés. Ne payez plus le prix fort pour l'automatisation. Vous n'avez plus besoin d'acheter, d'intégrer ni de gérer un outil SOAR distinct.

Intégré nativement à Elastic Security, Workflows accède directement à vos alertes, incidents et données d'investigation. Automatisez le tri manuel en exécutant des tâches prédéfinies dans des playbooks, tandis que des agents d'IA analysent les investigations complexes pour neutraliser les menaces plus rapidement.

Une fois lancé, Workflows se connecte de manière transparente aux systèmes externes dont votre SOC dépend, tels que les fournisseurs de cloud, les plateformes d'identité, les service desks et les outils de messagerie, permettant à un seul processus automatisé de synchroniser le contexte sur l'ensemble de votre pile de sécurité. 

Elastic Workflows combine l'automatisation par scripts et le raisonnement de l'IA. Exécutez des tâches définies à partir de playbooks avec cohérence et fiabilité, tandis que les agents d'IA mènent des investigations complexes.

Workflows tire ses capacités agentiques de son intégration à Elastic Agent Builder, une fonctionnalité native d'Elasticsearch permettant de créer des agents d'IA personnalisés. L'intégration est bidirectionnelle : Workflows peut appeler des agents comme étapes intelligentes d'analyse et de prise de décision ; les agents peuvent invoquer Workflows en tant qu'outil pour réaliser des actions concrètes, telles que l'isolement d'un hôte, l'interrogation de renseignements sur les menaces, l'escalade d'un incident ou la mise à jour d'un cas. Chaque action et étape de raisonnement est transparente et configurable.

Comme Elastic Security repose sur la plateforme Elasticsearch, les agents exploitent un contexte plus riche issu de vos données de sécurité, fournissant ainsi des résultats plus précis et adaptés à votre environnement. Les compétences d'IA étendent ces capacités en dotant les agents d'un raisonnement modulaire et spécifique au domaine, comme le tri des alertes ou l'analyse des malwares qui se charge dynamiquement à la demande, garantissant ainsi rapidité et précision des agents à grande échelle.

Voici comment cela se passe concrètement. Imaginez qu'une alerte se déclenche à la suite d'une connexion suspecte depuis un emplacement inconnu sur un compte disposant de privilèges élevés. En temps normal, c'est là que commence votre intervention manuelle. Mais grâce à Workflows, dès que l'alerte se déclenche, le système commence immédiatement à vérifier le comportement habituel de l'utilisateur, à rechercher d'autres anomalies récentes au niveau des connexions et à regrouper ces informations dans un nouveau dossier, tout en alertant l'équipe sur Slack.

S'il n'existe pas de playbook défini pour le tri automatique de ce scénario précis, le workflow peut faire appel à un agent d'IA. Cet agent analyse l'activité, la compare aux schémas d'attaque connus et fournit un résumé des événements. Ainsi, lorsqu'un analyste ouvre le dossier, il ne se trouve pas face à une alerte vague et un écran vide ; il dispose déjà du contexte nécessaire.

Si votre équipe dispose déjà d'une plateforme SOAR, Workflows ne nécessite aucun remplacement. L'automatisation qui exploite vos données Elastic comme le tri des alertes, l'enrichissement, la gestion des cas et les actions de réponse, est intégrée nativement à Workflows. L'orchestration multiplateforme avec les systèmes non-Elastic reste au sein de votre SOAR existant. Vous pouvez ensuite consolider vos systèmes à votre rythme.

La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.

Dans cet article, nous sommes susceptibles d'avoir utilisé ou mentionné des outils d'IA générative tiers appartenant à leurs propriétaires respectifs qui en assurent le fonctionnement. Elastic n'a aucun contrôle sur les outils tiers et n'est en aucun cas responsable de leur contenu, de leur fonctionnement, de leur utilisation, ni de toute perte ou de tout dommage susceptible de survenir à cause de l'utilisation de tels outils. Veuillez faire preuve de prudence lorsque vous utilisez des outils d'IA avec des informations personnelles, sensibles ou confidentielles. Toute donnée que vous soumettez peut être utilisée pour entrainer l'IA ou à d'autres fins. Vous n'avez aucune garantie que la sécurisation ou la confidentialité des informations renseignées sera assurée. Vous devriez vous familiariser avec les pratiques en matière de protection des données personnelles et les conditions d'utilisation de tout outil d'intelligence artificielle générative avant de l'utiliser. 

Elastic, Elasticsearch et les marques associées sont des marques commerciales, des logos ou des marques déposées d'Elasticsearch B.V. aux États-Unis et dans d'autres pays. Tous les autres noms de produits et d'entreprises sont des marques commerciales, des logos ou des marques déposées appartenant à leurs propriétaires respectifs.