Carrie Pascale

Le point sur les intégrations de sécurité élastiques : Q1 2026

Elastic Security Labs annonce neuf nouvelles intégrations pour Elastic Security couvrant la sécurité dans le nuage, la visibilité des points d'extrémité, la détection des menaces par courrier électronique, l'identité et le SIEM.

5 minutes de lectureMises à jour produit

Un regard trimestriel sur l'écosystème des intégrations de sécurité d'Elastic

Les équipes de sécurité ne peuvent protéger que ce qu'elles peuvent voir. Les lacunes dans la couverture, comme un parc macOS générant des journaux qui n'atteignent jamais votre SIEM, une passerelle de messagerie fonctionnant de manière isolée ou un environnement en nuage produisant des résultats qui restent cloisonnés dans la console du fournisseur, sont facilement exploitées par les attaquants.

La réponse d'Elastic à ce problème est un investissement continu et ouvert dans des intégrations tierces, basé sur la conviction qu'un écosystème de sécurité solide nécessite des intégrations profondes qui rendent les données de chaque coin de la pile consultables et contextualisées. Aujourd'hui, nous annonçons neuf nouvelles intégrations pour Elastic Security couvrant la sécurité du cloud, la visibilité des terminaux, la détection des menaces par e-mail, l'identité et le SIEM.

Chaque intégration est livrée avec des pipelines d'ingestion qui normalisent et structurent les données, ainsi que des tableaux de bord prédéfinis qui servent de point de départ immédiat pour la visualisation et l'analyse, de sorte que les équipes peuvent rechercher, corréler et enquêter sur de nouvelles sources de données dès le premier jour, sans avoir à écrire ou à maintenir des analyseurs.

Événements relatifs à la sécurité de macOS

Elastic Defend, l'intégration native qui fournit Elastic Endpoint Security, recueille une télémétrie de sécurité riche sur macOS, et se concentre intentionnellement sur les signaux de détection de grande valeur plutôt que sur l'audit complet du système. Les événements de connexion et de déconnexion, la création et la suppression de comptes, les changements d'enregistrement de services et les journaux de diagnostic d'applications se situent tous en dehors de ce champ d'application, laissant les chasseurs de menaces et les équipes de RI sans contexte macOS complet. L'intégration des événements de sécurité macOS complète Elastic Defend en offrant la même profondeur de visibilité au niveau du système d'exploitation que celle offerte aux appareils Windows via l'intégration des journaux d'événements Windows.

Les terminaux MacOS génèrent des dizaines de milliers d'entrées de journal unifié par terminal. S'il n'est pas filtré, ce volume crée du bruit plutôt que des signaux. Cette intégration s'accompagne de filtres basés sur des prédictions qui limitent l'ingestion aux événements importants pour la sécurité : activité d'authentification, exécution de processus, connexions réseau, changements dans le système de fichiers et modifications de la configuration du système.

Ces filtres basés sur des prédictions permettent une couverture complète de macOS sans le coût ou la complexité de l'ingestion de tout. Une fois ingérés, ces événements sont immédiatement disponibles pour l'assistant IA d'Elastic Security. Les analystes peuvent poser des questions en langage naturel telles que "Montrez-moi toutes les tentatives d'escalade de privilèges sur les terminaux macOS au cours des dernières heures 24 " ou "Résumez les échecs de connexion pour cet hôte", transformant ainsi les entrées brutes du journal unifié en un contexte d'enquête exploitable sans avoir à écrire une seule requête.

Consultez l'intégration des événements de sécurité de macOS.

IBM QRadar

Pour les équipes qui utilisent IBM QRadar en parallèle avec Elastic Security, l'ingestion d'alertes dans Elastic est devenue plus facile. L'intégration QRadar collecte les enregistrements d'infractions à partir des points de terminaison d'infractions et de règles de QRadar, enrichissant chaque alerte avec le nom, l'ID, le type et la propriété de la règle de déclenchement, afin que les analystes puissent trier dans Elastic sans repasser par QRadar.

Cette intégration est à la base du flux de migration SIEM d'Elastic pour QRadar, qui reflète la capacité déjà disponible pour Splunk. Les équipes peuvent également utiliser la migration automatique pour migrer leurs règles QRadar dans Elastic. Il utilise la recherche sémantique et l'IA générative pour faire correspondre les règles existantes aux plus de 1 300 détections préconstruites d'Elastic, et traduit tout ce qui ne correspond pas directement en ES|QL, ce qui vous permet de consolider votre empreinte SIEM sans reconstruire manuellement l'ensemble de votre bibliothèque de détection.

Découvrez l'intégration d'IBM QRadar.

Essentiels Proofpoint

Pour les entreprises, la protection contre les attaques ciblées (TAP) de Proofpoint est disponible dans Elastic. Proofpoint Essentials est désormais disponible pour fournir la même visibilité sur les menaces liées à la messagerie électronique aux environnements des PME et aux MSP et MSSP qui les desservent.

L'intégration de Proofpoint Essentials transmet quatre types d'événements à Elastic Security :

  • Clics sur des URL malveillants qui ont été bloqués
  • Clics autorisés
  • Messages bloqués parce qu'ils contiennent des menaces reconnues par URL Defense ou Attachment Defense
  • Messages délivrés malgré la présence de ces menaces

Pour faire apparaître facilement ces données, deux tableaux de bord prédéfinis sont disponibles :

Pour une équipe SOC de PME, cela signifie que les tentatives d'hameçonnage, les détections de logiciels malveillants et les violations de politiques se retrouvent sur la même plateforme que le reste de votre télémétrie de sécurité, ce qui évite d'avoir à changer de plateforme pour comprendre le contexte complet d'une menace.

Découvrez l'intégration de Proofpoint Essentials.

Hub de sécurité AWS

AWS Security Hub regroupe les résultats de votre environnement AWS, mais l'étude de ces résultats nécessite de rester dans la console AWS, à l'écart des données de sécurité du reste de votre équipe. L'intégration d'Elastic modifie cette situation en intégrant les résultats du Security Hub dans Elastic au format OCSF (Open Cybersecurity Schema Framework) et en les normalisant au format ECS, ce qui permet d'obtenir des données cohérentes avec les schémas et immédiatement consultables via ES|QL.

Les résultats sont affichés sur la page Elastic Vulnerability Findings, ce qui permet d'intégrer la posture de sécurité du nuage AWS directement dans les flux de travail déjà en place. À partir de là, vous pouvez corréler les données du Security Hub avec des signaux provenant d'autres sources (alertes sur les terminaux, événements d'identité, télémétrie réseau) afin d'obtenir une image plus complète des risques dans votre environnement AWS et d'enquêter plus rapidement que ne le permet la console native.

Découvrez l'intégration de AWS Security Hub.

Plus de nouvelles intégrations d'Elastic Security

En plus des intégrations présentées ci-dessus, les intégrations suivantes sont désormais disponibles, chacune étant livrée avec des tableaux de bord prédéfinis pour une valeur immédiate :

  • JupiterOne: Intelligence des actifs et surveillance de la surface d'attaque dans le nuage, ingérant des alertes croisées, des résultats CVE et des détections de menaces enrichies avec les mappages MITRE ATT&CK et les scores CVSS, ainsi que le contexte de l'hôte pour une visibilité unifiée des risques.
  • Airlock Digital: Télémétrie des autorisations d'application et du contrôle d'exécution, capturant les exécutions de processus bloqués avec les lignes de commande, les hachages de fichiers et le contexte de l'éditeur, de sorte que les tentatives d'exécution non autorisées sont visibles et corrélables avec le reste de vos détections de points finaux.
  • Island Browser: Événements de sécurité des navigateurs d'entreprise couvrant la navigation de l'utilisateur, la posture de l'appareil, la détection des informations d'identification compromises et l'activité de l'administrateur, étendant la visibilité d'Elastic au BYOD et aux appareils non gérés où les agents traditionnels des points finaux ne peuvent pas être déployés.
  • Ironscales: Les événements de détection de phishing alimentés par l'IA capturent les métadonnées des courriels, la réputation de l'expéditeur, le nombre de boîtes aux lettres affectées et les liens suspects, corrélables avec les données des points finaux et d'identité pour une investigation et une réponse plus rapides.
  • Cyera: Événements de gestion de la posture de sécurité des données, mettant en évidence les risques liés aux données sensibles, notamment la gravité de l'exposition, le nombre d'enregistrements affectés, les violations du cadre de conformité et la propriété du datastore dans les environnements cloud, de sorte que l'exposition aux données sensibles ne reste pas cloisonnée dans une console DSPM distincte.

Lancez-vous

Ces intégrations s'inscrivent dans l'approche ouverte d'Elastic en matière de sécurité. Les neuf intégrations de ce tour d'horizon sont livrées avec des tableaux de bord prédéfinis et des mappages ECS natifs, offrant à votre équipe une visibilité immédiate sans configuration supplémentaire ni travail de visualisation personnalisé.

À partir de là, les résultats, les alertes et les journaux sont immédiatement disponibles pour les capacités de détection et d'investigation plus larges d'Elastic : Attack Discovery pour la mise en évidence des menaces en plusieurs étapes, AI Assistant pour l'investigation en langage naturel et la réponse guidée, et ES|QL et EQL pour la détection personnalisée et les requêtes de chasse.

Vous avez des questions ou des commentaires ? Rejoignez #security-siem dans le Slack de la communauté Elastic Stack.

Partager cet article

XFacebookLinkedInReddit