Elastic Common Schema
Structurez vos données dans Elasticsearch
Elastic Common Schema (ECS) est un système cohérent de structuration des données dans Elasticsearch, ce qui facilite l'analyse des données provenant de différentes sources. Avec ECS, vous pouvez étendre le champ d'application des contenus analytiques tels que les tableaux de bord et les règles de détection, affiner le ciblage de vos recherches et utiliser des noms de champs bien plus simples à mémoriser.
Prise en main d'Elasticsearch : stockage, recherche et analyse avec la Suite Elastic gratuite et ouverte.
Regarder la vidéoPrésentation de la suite ELK : lancez-vous avec les logs, les indicateurs, l'ingestion des données et les visualisations personnalisées dans Kibana.
Regarder la vidéoPrise en main d'Elastic Cloud : comment créer votre premier déploiement.
En savoir plusPourquoi un schéma commun ?
Que vos analyses soient interactives (recherche, visualisation, opérations de granularité et de restructuration comme "drill-down" et "pivot") ou qu'elles soient automatisées (alerting, règles de détection, ou encore détection des anomalies via Machine Learning), vous devez pouvoir examiner vos données de manière homogène. Mais, à moins que vos données ne proviennent que d'une seule et même source, vous êtes confronté à des incohérences de mise en page qui s'expliquent par la disparité des types de données et par l'hétérogénéité des environnements qui appliquent des normes différentes selon le fournisseur.
L'ECS, qu'est-ce que c'est ?
L'ECS est une spécification open source qui définit un jeu commun de champs, les types de données Elasticsearch, les valeurs autorisées et la hiérarchie des utilisations pour les données ingérées dans Elasticsearch. Elle permet d'unifier tous les modes d'analyse disponibles dans Elastic : recherche, opérations "drill-down" et "pivot", visualisation des données, détection des anomalies, règles de détection et alertes.
Un développement de contenu simplifié
L'ECS vous permet de passer moins de temps à développer du contenu analytique. Et pour cause : au lieu de créer de nouvelles recherches et de nouveaux tableaux de bord chaque fois que vous ajoutez une nouvelle source de données, vous pouvez maintenant continuer d'exploiter vos recherches et tableaux de bord existants. Ajoutons à cela qu'avec l'ECS, votre environnement adopte bien plus facilement les contenus analytiques fournis par d'autres parties exploitant ECS, qu'il s'agisse d'Elastic, de partenaires ou de projets open source.
Okta Brute Force Attack detection rule based on ECS
Les intégrations Elastic
Elastic fournit des intégrations prêtes à l'emploi pour fournir des logs, des événements, des indicateurs, des traces, du contenu et bien d'autres éléments à partir de vos applications, vos points de terminaison, votre infrastructure, votre cloud, votre réseau, vos outils d'espace de travail et chaque autre source commune de votre écosystème. Grâce à ces intégrations, vous êtes sûr de pouvoir interagir avec vos données dans les solutions Elastic telles que Security et Observability.
Les données ingérées à partir de ces intégrations sont déjà mappées à ECS. Activez simplement l'intégration, ingérez les données, et c'est parti : vous pouvez commencer à interagir avec vos données au format ECS.
Comment mapper des données à ECS
Même si les intégrations Elastic mappent automatiquement les données à ECS, vous disposez probablement d'autres sources de données que vous souhaiteriez normaliser au format ECS afin d'en tirer le meilleur parti. Plusieurs options s'offrent à vous pour mapper vos données à ECS. Pour obtenir un bon exemple de mappage d'une source de données de sécurité à ECS, lisez cet article de blog.
Comment contribuer à ECS
ECS est un schéma évolutif avec des mises à jour fréquentes pour permettre de gérer de nouveaux cas d'utilisation proposés en fonction des retours de la communauté.
Envie d'en savoir plus ? Consultez la documentation relative à ECS sur Elastic.co ou dans le référentiel ECS.
Vous avez une question ou une suggestion ? Rendez-vous sur les forums de discussion d'Elastic, contactez-nous sur le canal Slack de la communauté ECS ou soumettez un problème dans le référentiel ECS.