Introducing Elastic SIEM | Elastic Blog
Releases

Apresentação do Elastic SIEM

Estamos empolgados em anunciar a chegada do Elastic SIEM — o primeiro grande passo para construir nossa visão do que deveria ser um SIEM. O lançamento do Elastic SIEM aproveita a pujança e o sucesso que o Elastic Stack já conquistou no mercado de análise de segurança. O lançamento inicial do Elastic SIEM apresenta um novo conjunto de integrações de dados para casos de uso de segurança e um novo aplicativo dedicado no Kibana que permite aos especialistas em segurança investigar e selecionar fluxos de trabalho de segurança de rede e host comuns de maneira otimizada.

E mais! Ele está disponível gratuitamente aos nossos usuários como parte da nossa distribuição padrão. O Elastic SIEM está sendo lançado como beta na versão 7.2 do Elastic Stack e está disponível imediatamente no Elasticsearch Service via Elastic Cloud ou para download.

Uma viagem que começou há alguns anos

No espaço de alguns anos, o Elastic Stack se tornou uma opção popular junto aos especialistas em segurança para proteger seus sistemas e dados contra ameaças cibernéticas. O Bell Canada e o Slack usam o Elastic Stack para análise de segurança. O Cisco Talos tem o Elasticsearch no núcleo de seu programa de detecção de ameaças. O OmniSOC, um centro de operações de ciberssegurança compartilhado construído pela Big Ten Academic Alliance, e o Oak Ridge National Laboratory optaram por usar o Elastic Stack como núcleo de suas soluções SIEM. E vimos projetos open source como RockNSM, HELK e outros se formarem em torno do Elastic Stack para oferecer suporte aos operadores de segurança.

Estávamos empolgados em ver como o Elastic Stack era uma excelente solução para os dados de segurança. Estávamos inspirados pela comunidade que se formou em torno desses casos de uso e investimos na criação de recursos fundamentais para melhor servir a ela — assim como fizemos para outras soluções, por exemplo, logs e APM. A partir da coleta de informações e eventos de segurança, expandimos o conjunto de dados de segurança baseados em host que coletamos com o Filebeat, o Winlogbeat e o Auditbeat. Também expandimos o alcance da coleta de eventos de segurança baseada em rede adicionando integrações com o monitoramento de redes e os sistemas de detecção de invasões (IDSs) conhecidos, como Bro/Zeek e Suricata.

À medida que ampliamos o conjunto de integrações de dados, percebemos como é importante ter uma maneira comum de representar os dados em diferentes fontes. Passamos os últimos 18 meses, juntamente com a nossa comunidade e parceiros, desenvolvendo o Elastic Common Schema (ECS) — uma especificação de mapeamento de campo extensível que facilita a normalização de dados de fontes distintas para permitir correlação, pesquisa e análise entre fontes.

Com métodos fáceis de coletar inúmeras fontes de dados de segurança e um esquema comum para armazená-las, o próximo passo evidente em nossa jornada foi criar uma interface de usuário que juntasse todas essas peças em um único lugar e proporcionasse uma experiência de usuário adaptada às necessidades dos especialistas em segurança.

Conheça o Elastic SIEM!

Apresentação do Elastic SIEM

No núcleo do Elastic SIEM está o novo aplicativo SIEM, um espaço de trabalho interativo para equipes de segurança selecionarem eventos e executarem investigações iniciais. Seu recurso Timeline Event Viewer permite aos analistas reunir e armazenar provas de um ataque, identificar e anotar eventos relevantes e comentar e compartilhar suas constatações, tudo a partir do Kibana — permitindo trabalhar facilmente com quaisquer dados que sigam o formato ECS.

O Kibana sempre foi um espaço maravilhoso para as equipes de segurança visualizarem, pesquisarem e filtrarem os dados de segurança. O aplicativo Elastic SIEM assume todos os aspectos que as equipes de segurança adoram sobre o Kibana — interatividade, pesquisa ad hoc e detalhamentos responsivos — e reúne tudo isso para proporcionar uma experiência intuitiva em produtos alinhada aos fluxos de trabalho de SOC comuns.

Elastic SIEM

O aplicativo SIEM permite a análise de eventos de segurança relacionados ao host e à rede como parte de investigações de alerta ou detecção interativa de ameaças, incluindo:

Análise de eventos de segurança de host

Como complemento à biblioteca extensiva de visualizações e painéis que já existem no Kibana, a visualização Hosts no aplicativo SIEM fornece métricas cruciais relativas a eventos de segurança relacionados a host, além de um conjunto de tabelas que permitem a interação com o Timeline Event Viewer. A versão 7.2 também fornece nova coleta de dados baseados em host com suporte ao Sysmon no Winlogbeat.

Visualização Host no Elastic SIEM

Análise de eventos de segurança de rede

Da mesma maneira, a visualização Network informa aos analistas sobre métricas de atividade de rede cruciais, facilita o enriquecimento de tempo de investigação e fornece tabelas de eventos de rede que possibilitam a interação com o Timeline Event Viewer. Também estamos incluindo o suporte aos firewalls Cisco ASA e Palo Alto na versão 7.2.

Visualizador de eventos de rede no Elastic SIEM

Timeline Event Viewer

Este é o espaço de trabalho colaborativo para investigações ou detecção de ameaças que permite aos analistas arrastar facilmente os objetos de interesse para o Timeline Event Viewer e assim criar exatamente o filtro de consulta de que precisam para atingir a parte inferior de um alerta. Durante a investigação, os analistas podem identificar e anotar eventos individuais, além de poder adicionar anotações para descrever as etapas envolvidas durante a investigação. O autosalvamento garante que os resultados da investigação estejam disponíveis para as equipes de resposta a incidentes.

Visualizador de eventos de linha do tempo no Elastic SIEM

A jornada continua

Na Elastic, nos esforçamos para sermos rápidos, lançarmos com frequência e fornecermos um fluxo constante de valor aos nossos usuários. Acreditamos que o Elastic SIEM é um primeiro grande passo em direção à nossa visão do que deveria ser o SIEM, e os comentários antecipados de nossa comunidade de usuários e parceiros são muito positivos.

Nosso ecossistema de parceiros, incluindo os integrantes de sistemas globais, também viu os usuários implementarem o Elastic Stack de forma natural para casos de uso do SIEM.

“A nova função de SIEM da Elastic está melhorando nossa habilidade de facilitar a visibilidade de segurança e construir soluções de segurança de ponta a ponta e ampliáveis para os clientes no Elastic Stack”, conta Greg Baker, Vice-Presidente e Gerente Geral de Cyber Digital na Optiv, uma integradora de soluções de segurança e parceira recomendada da Elastic. “Será um prazer continuar a auxiliar os clientes que precisam desses recursos nessa parceria de longa data com a Elastic.”

Esse é um grande marco em nossa jornada da segurança, e estamos empolgados em continuar avançando. Recursos como regras de detecção SIEM, análise de usuário, integração de inteligência de ameaças e mais fontes de dados estão todos identificados em nossa programação. E podemos dizer com segurança que continuaremos fazendo as coisas do jeito da Elastic, e que vamos adaptar e mudar os limites e as definições tradicionais do SIEM para ajudar você a proteger seus dados, aplicativos e infraestrutura de rede.

Comece hoje mesmo!

Para começar, prepare um cluster no Elasticsearch Service ou instale a versão mais recente do Elastic Stack. Já tem dados ECS no Elasticsearch? Basta atualizar seus clusters para a versão 7.2 e experimentar o Elastic SIEM.

Para simplificar sua jornada introdutória, temos material excelente para você começar: