News

O Elastic SIEM é gratuito e aberto para analistas de segurança em qualquer lugar

A solução Elastic SIEM mencionada neste post agora se chama Elastic Security. A solução Elastic Security mais ampla oferece SIEM, segurança de endpoint, detecção de ameaças, monitoramento de nuvem e muito mais. Se estiver procurando informações específicas sobre o Elastic Security para casos de uso de SIEM, acesse a nossa página sobre SIEM.

As equipes de segurança devem proteger as superfícies de ataque que estão se tornando maiores e mais distribuídas devido ao crescimento do trabalho remoto, da infraestrutura na nuvem e outras dinâmicas. Essas equipes entendem que, para enfrentar esse desafio em escala, é necessário incorporar a tecnologia apropriada a seu programa de operações de segurança. Embora as soluções de gerenciamento de eventos e informações de segurança (SIEM) sejam projetadas para ajudar a detectar e responder a ameaças de segurança em potencial, existem limitações fundamentais em muitas soluções de SIEM largamente implantadas que costumam atrapalhar o trabalho dos analistas.

Proteger sua organização contra ameaças cibernéticas já é difícil em tempos normais. Infelizmente, em tempos difíceis, o cenário de ameaças fica ainda mais traiçoeiro. Eventos regionais, nacionais ou globais, como eleições, grandes eventos esportivos ou mesmo uma crise de saúde global podem agravar o desafio. A maior adesão ao home office em larga escala traz seus próprios riscos, com trabalhadores operando em ambientes inseguros, em equipamentos pessoais ou reaproveitados e seguindo processos que podem não ter sido cuidadosamente revisados ou testados.

O que é o Elastic SIEM?

O Elastic SIEM gratuito e aberto é uma aplicação que fornece às equipes de segurança visibilidade, caça a ameaças, detecção automatizada e fluxos de trabalho para o Centro de Operações de Segurança (SOC). O Elastic SIEM está incluído na distribuição padrão do software Elastic (ELK) Stack, uma plataforma de logging de sucesso comprovado. Ele vem com regras de detecção prontas para uso, alinhadas ao framework do MITRE ATT&CK™, para detectar ameaças que muitas vezes passam despercebidas por outras ferramentas. Criadas, mantidas e atualizadas pelos especialistas em segurança da Elastic, essas regras detectam e abordam a atividade de ameaças mais recente de forma automática. As pontuações de risco e gravidade associadas aos sinais gerados pelas regras de detecção permitem que os analistas façam a triagem dos problemas rapidamente e voltem sua atenção para o trabalho de maior risco. Se você precisa implantar uma solução de SIEM hoje e vê valor imediato, nós oferecemos a maneira melhor e mais fácil de fazer isso.

O Elastic SIEM oferece muitos recursos para fortalecer o trabalho dos analistas. Tendo a velocidade e a escalabilidade do Elasticsearch como plataforma de busca subjacente, ele dá agilidade aos analistas com:

  • Uma página de visão geral para mostrar o status do SOC e a postura de segurança
  • Dashboards para caça a ameaças e consciência situacional 
  • Integração com o Elastic Maps, o Elastic Lens e todo o Kibana
  • Um mecanismo para detecção automatizada 
  • Um investigador de linha do tempo exclusivo com modelos de investigação para analistas

As organizações usam esses recursos para eliminar pontos cegos e dar aos analistas meios de baixar o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR). 

Por que um SIEM gratuito?

A Elastic tem a missão de ajudar as organizações a melhorar sua postura de segurança, eliminando pontos cegos e fornecendo aos analistas os produtos e os fluxos de trabalho necessários para proteger os dados e a infraestrutura. Estimulados pela ampla adoção do Elastic Stack pela comunidade de segurança para caça a ameaças, detecção de fraudes e monitoramento de segurança, queríamos facilitar ainda mais para os usuários a implantação dos nossos produtos para segurança. Primeiramente, trabalhamos em colaboração com a nossa comunidade para desenvolver o Elastic Common Schema (ECS), que agiliza a normalização de dados de fontes distintas, sejam de tecnologias de rede e host ou de infraestrutura e aplicações de nuvem. Lançamos o Elastic SIEM em junho de 2019, apresentando o único SIEM gratuito e aberto do setor com regras de detecção de SIEM mantidas ativamente. 

Demonstramos os mais recentes recursos do Elastic SIEM para dezenas de visitantes em nosso estande da conferência RSA 2020 em São Francisco. Depois de quase todas as demonstrações, quando nos perguntavam sobre os custos de licenciamento, tínhamos o prazer de responder que tudo o que tínhamos acabado de mostrar era gratuito e aberto para uso. “Bom, mas você quer dizer uma versão de avaliação, né?” “Não, para sempre.” “Jura?” “Sim.”

Comece e implante em escala gratuitamente

Gratuito e aberto pode ser uma novidade para o SIEM, mas não para a Elastic. Durante anos, as organizações desenvolveram projetos de analítica de segurança para caça a ameaças e SIEM no Elastic Stack. Elas desfrutaram de provas de conceito em escala e duração ilimitadas, sem custo de licenciamento, e não tiveram nenhum dos dissabores com fornecedor geralmente associados à avaliação de um novo software empresarial. Estamos complementando isso com o Elastic SIEM, que está disponível para ser baixado e executado localmente, em um ambiente virtual ou em container, na sua nuvem ou na nossa.

Preços baseados em recursos para extensões comerciais

O Elastic SIEM gratuito e aberto fornece uma base sólida para as operações de SOC usarem em qualquer escala e pelo tempo que for necessário. A Elastic também fornece extensões comerciais para o Elastic SIEM que o elevam a um patamar superior, incluindo integração de detecção de anomalia baseada em machine learning, notificações de alerta externas e integração com plataformas de gerenciamento de casos/tíquetes de terceiros, sistemas de resposta a incidentes e plataformas de SOAR.

Os fornecedores de SIEM normalmente cobram com base na taxa de ingestão de dados, como média de eventos por segundo (EPS) ou volume diário indexado (DIV). Esse modelo de licenciamento tem várias desvantagens. Primeiro, ele cria um desincentivo financeiro para as organizações coletarem e ingerirem os dados que podem realmente ajudá-las a detectar ameaças com mais eficácia. Segundo, ele cria uma situação na qual alguns dados de segurança são “largados” ou enviados para outra área de armazenamento onde processos especiais precisam ser invocados para que eles possam ser examinados. Terceiro, ele cria uma situação de orçamento imprevisível e desconfortável para essas organizações que planejam a expansão dos dados.

Em contrapartida, nosso preço baseado em recursos não envolve cobrança por taxa de ingestão de dados, nem por licença. Em vez disso, ele permite que você pague apenas pelo que usar em termos de recursos de suporte às suas operações de segurança. Você pode escolher a quantidade de dados que ingere, por quanto tempo os retém e que tipo de fluxo de trabalho de segurança habilita nos dados.

Por que um SIEM aberto?

O que queremos dizer com aberto? É muito mais do que apenas “open source” ou “código aberto”, que definiu uma nova era de abordagens inovadoras para o SIEM. Nossos usuários valorizam a comunidade aberta, o roadmap aberto, o modelo de dados aberto e uma abordagem aberta para detecções.

Comunidade aberta

Uma das coisas que os usuários nos dizem que adoram na Elastic, tanto sob a perspectiva cultural quanto tecnológica, é a comunidade. Se você tem alguma dúvida, a comunidade da Elastic está aí para ajudar. Quando se trata do SIEM, os membros da nossa equipe respondem às perguntas dos usuários diariamente no fórum de discussão sobre o SIEM e em nosso canal público #siem do Slack, bem como em outros lugares onde interagimos com os usuários. 

A comunidade é especialmente crítica quanto à segurança cibernética. O espaço de segurança não consiste em uma única ferramenta ou indivíduo, mas sim na forma como as equipes colaboram nas organizações, regiões geográficas, conjuntos de dados e práticas para proteger valiosos dados e infraestruturas contra ameaças. Com o Elastic SIEM, a Elastic promove ativamente essa comunidade de segurança, seja por meio de nossos produtos, parcerias, patrocínios, treinamento, seja pela incrível pesquisa original que vem da própria comunidade da Elastic.

Muitas organizações têm usado a Elastic como plataforma de analítica de segurança e solução de SIEM interna há anos. Por exemplo, o SANS, um dos líderes em treinamento e certificação de segurança, há muito usa o Elasticsearch como plataforma de treinamento para SIEM, sem mencionar as muitas outras ferramentas e programas de treinamento que utilizam a Elastic para caça a ameaças e detecção de fraudes e ameaças internas.

Roadmap aberto

Outro aspecto poderoso das práticas de desenvolvimento aberto que adotamos é o roadmap e o controle de ocorrências abertos. Independentemente de estar apenas tentando descobrir no que estamos trabalhando ou estar acompanhando uma solicitação de aprimoramento específica, você pode simplesmente entrar nas ocorrências públicas do Github, começar a se inteirar do assunto, votar em tópicos e criar novas ocorrências. Você verá nossos projetos para direções futuras completamente abertos, bem como nossos engenheiros envolvidos na triagem e procurando saber mais detalhes sobre suas ideias. Também aceitamos contribuições, que é outra maneira de voltar a nossa bússola para novas direções.

Modelo de dados aberto

No Elastic Stack, cada informação que você adiciona é “apenas mais um índice” no nosso modelo de dados abertos. Os dados são armazenados como JSON, sem formatos proprietários. Documentamos claramente nossas suposições de esquema no ECS, que é voltado para a comunidade e extensível. Isso significa que não há dependência de fornecedor. 

O Elastic SIEM inclui funções de “inspeção” para que você possa ver as consultas reais usadas pelo app. Nossas regras de SIEM são publicadas e totalmente documentadas, para que você possa ver e entender a lógica de detecção, sem “caixa preta”. Até mesmo nossos trabalhos de detecção de anomalia baseados em machine learning podem ser facilmente visualizados, copiados e editados para você criar seus próprios trabalhos customizados. Quer adicionar outra fonte de dados ao SIEM? Sem problemas. Além disso, nunca limitamos a sua capacidade de obter dados; os dados são seus, e você tem o controle.

Experimente você mesmo(a)

Quer fazer um test drive do Elastic SIEM? Experimente o Elastic SIEM no Elasticsearch Service no Elastic Cloud ou confira esta demonstração do Elastic SIEM. Já está com os dados formatados para ECS no Elasticsearch? Basta atualizar para a versão 7.6 do Elastic Stack e dar ao seu SOC todos os recursos para os analistas trabalharem.

Quer experimentar o Elastic Security ao vivo? Participe virtualmente de um evento Elastic{ON} Tour.