O Elastic 8.4 apresenta o recurso SOAR para operações de segurança modernas

A Elastic apresenta no Elastic Security 8.4 a novidade dos recursos de SOAR para capacitar os centros de operação de segurança (SOCs) para simplificar as operações do analista. 

Os SOCs modernos estão se deparando todo o tempo com inúmeros desafios. A visibilidade e o impacto das operações de segurança se tornaram um problema para o conselho administrativo das empresas, e os recursos disponíveis para as equipes de segurança ainda se mostram limitados. O volume dos dados está explodindo e, na mesma proporção, cresce a responsabilidade da equipe de segurança. As equipe recebe tarefas para proteger um ambiente distribuído menor em perímetro e precisa também avaliar o risco de fornecedores de SaaS e serviços compartilhados.

Para ultrapassar esses desafios, muitas organizações iniciaram uma unificação das equipes com objetivos semelhantes para compartilhar práticas recomendadas e reduzir as falhas de capacitação. Onde havia obstáculos entre a observability (de eficiência operacional e visibilidade de aplicações empresariais) e a segurança (de garantia e proteções de aplicações empresariais) agora há trânsito livre para compartilhar dados, fluxos de trabalho e experiência entre os membros das equipes. O Elastic Security 8.4 oferece as ferramentas de que os analistas precisam para simplificar seus fluxos de trabalho operacionais e, assim, agilizar a detecção de ameaças e a remediação desses eventos. 

O que há de novo no Elastic Security 8.4?

O recurso de SOAR é um multiplicador de forças para o SOC moderno

Recentemente, a Elastic reforçou ainda mais nosso comprometimento em relação à segurança aberta e transparente e agora, no Elastic Security 8.4, estamos expandindo nossa funcionalidade de resposta para continuar a simplificar as operações dos analistas.

Os fluxos de trabalho aprimorados do Elastic 8.4 combinam funcionalidades de resposta nativa e recursos de alertas e ações de caso configuráveis com integrações bidirecionais envolvendo fornecedores de orquestração, automação e resposta de segurança (SOAR). Os usuários agora podem aproveitar as integrações com ServiceNow, Swimlane e Tines, bem como novas parcerias com a D3 e a Torq.

A abordagem exclusiva da Elastic para os recursos de SOAR é possível graças à tecnologia do Elastic Agent. Essa tecnologia, incluída na solução Elastic Security, permite o crescimento do caso de uso de um clique em centenas de fontes de dados, bem como o gerenciamento de nosso software de proteção à segurança da nuvem e ao endpoint. O Elastic Agent capacita os recursos de remediação nativa acessíveis a todos os usuários, assegurando a todos iniciar sua jornada SOAR sem a necessidade de adquirir outras tecnologias. 

À medida que os casos de uso para remediação crescem e as equipes precisam de controles de orquestração avançados, os usuários podem utilizar os recursos de orquestração personalizáveis do Elastic Security ou as integrações de um clique com outros provedores de SOAR líderes de mercado. Essa abordagem que prioriza o usuário cresce com as necessidade das organizações. Ela oferece simplicidade e consolidação para todos os usuários sem impor a dependência de fornecedor.

Esse modelo de redimensionamento por demanda de crescimento permite aos clientes simplificar os fluxos de trabalho e processos de automação e orquestração no seu ecossistema existente combinando ações e orquestrações nativas e de um clique com uma abordagem que prioriza a API para integrações próprias e de terceiros. Agora, os analistas podem usar o Elastic Security para suas necessidades de SOAR, aproveitar qualquer um de nossos fornecedores de SOAR parceiros para expandir seus recursos de orquestração, além de personalizar completamente, como alternativa, a experiência de resposta com as ações da Elastic e nossa primeira abordagem priorizando a API em todas as funcionalidades.

Nossa visão aberta em relação aos recursos de SOAR reflete nossa abordagem para muitas outras tecnologias, como Elastic Security for Endpoint, que oferece a prevenção e a detecção de endpoint e capacita o recurso de detecção e resposta estendidas (XDR). Os usuários merecem poder fazer escolhas, portanto, também oferecemos integrações poderosas com outros fornecedores de endpoint, como CrowdStrike, Microsoft Defender e SentinelOne. Fazemos o que é melhor para nossa comunidade sem hesitar em promover a integração com tecnologias que oferecem funcionalidades que se sobrepõem.

Muitas organizações estão apenas começando a implantar a orquestração, a automação e a resposta de segurança. Nossos recursos de SOAR ajudam as organizações de todo tipo a sobressair no gerenciamento de incidentes, e nossos parceiros de SOAR fortemente integrados ajudam na realização de muitas outras conquistas.

Interface de automação de respostas para fins específicos

Um fluxo de trabalho central para planejar, criar e executar seu plano de resposta é um componente importante para do recurso de SOAR. O Elastic Security 8.4 apresenta uma interface que lembra um terminal e permite aos praticantes ver e invocar ações de resposta com rapidez, acelerando as respostas. Ela é acessivel com apenas um clique nos principais fluxos de trabalho do analista, minimizando o tempo médio de resposta (MTTR).

O isolamento do host, uma ação existente, capacita os analistas a desativar rapidamente a conectividade da rede nos sistemas infectados, evitando o movimento lateral e ao mesmo tempo permitindo que os respondentes ainda façam triagens e investigações. Essa funcionalidade existente em todos os sistemas operacionais (Linux, macOS e Windows) está conectada por três operações de processo adicionadas na versão 8.4:

• Enumerar os processos em execução no momento
• Suspender (suspend) processo
• Encerrar (kill) processo

Uma nova interface de auditoria oferece um registro completo de atividades de resposta a incidentes, dando suporte a controles rígidos e a geração de relatórios.

Esses recursos estão com disponibilidade geral (GA) na versão 8.4 e podem ser acessíveis em nossa camada de assinatura Enterprise nas implantações autogerenciadas e de nuvem. Versões posteriores expandirão ainda mais as ações de resposta disponíveis.

Autorrecuperação de hosts do Windows

Retornar um host atacado a um bom estado conhecido é outro componente central do recurso de SOAR. 

O Elastic Security 8.4 apresenta a autorrecuperação, um recurso de remediação automatizada que apaga os artefatos de ataque de um sistema. Agora, quando atividades maliciosas são identificadas em um host, uma autolimpeza retorna automaticamente o host ao seu estado anterior ao ataque, revertendo as alterações implementadas durante o ataque. Nesta versão, demos enfoque à reversão das alterações, abordando executáveis inseridos/criados. Uma funcionalidade de remediação adicional será incluída em breve.

O modo de autorrecuperação nos sistemas do Windows está em GA na versão 8.4 e permanece disponível na camada da nossa assinatura Platinum para implantações autogerenciadas e em nuvem.

Insights de alertas automatizados

Os analistas de segurança empenham uma energia significativa na conexão de pontos entre um alerta e os outros inúmeros alertas em seu ambiente. A fadiga dos alertas, uma combinação de volume de alertas com alertas falsos, aliada à falta de profissionais treinados disponíveis, é um problema real para muitas organizações. Os insights de alertas, outra nova funcionalidade, guiam os analistas em seu fluxo de trabalho aos alertas e casos relevantes, o que acelera a avaliação do impacto dos problemas e a otimização do fluxo de trabalho e da experiência dos analistas. Em resumo, os analistas podem ver o seguinte:

• Este alerta já apareceu em algum caso anteriormente?
• Este alerta está relacionado a outros, destacado por indicadores importantes e de comprometimento?
• Agrupamentos exclusivos da Elastic baseados em alertas relacionados na mesma sessão do usuário 

Além disso, o recurso de um clique dinamiza a experiência investigativa com arrastar e soltar da Elastic, permitindo uma detecção fácil de ameaças e uma análise adicional. 

Os insights de alertas estão em GA na versão 8.4 e permanecem disponíveis na camada da assinatura Platinum.

Parcerias de SOAR expandidas

O recurso de SOAR, capacita o Elastic Security com a integração de SOAR nativa e de terceiros. Em resposta aos feedbacks dos clientes, novos conectores da D3 Security e da Torq em breve serão incorporados, intensificando ainda mais nossa liderança nas integrações de SOAR de terceiros. Os conectores fornecerão encaminhamentos prontos para uso de detecções da Elastic, permitindo a orquestração, a automação e a resposta de segurança.

Orquestração personalizável avançada

Caso haja fornecedores ou ações que não estejam em nosso amplo conjunto de integrações, os usuários podem criar automações com nossa interface própria para esse fim. Aqui, qualquer chamada à API pode ser criada com função de conector e depois aplicada como ação de orquestração. Uma comunidade aberta de conectores foi publicada recentemente para ajudar no início rápido dos usuários em qualquer um dos controles personalizados de que precisarem. No Elastic 8.4, expandimos essa funcionalidade com base nos alertas para também incluir ações de caso.

Que mais?

Além dos recursos de SOAR, o Elastic 8.4 lançou várias melhorias de engenharia de detecção, incluindo:

• Fácil detecção de novas entidades que aparecem nos dados do log: apresentamos um novo tipo de regra que alerta os usuários quando um termo incomum é encontrado em suas fontes de dados. Quando um documento é ingerido e contém um valor de campo diferente do que apareceu em uma janela de tempo específica (por exemplo, nos últimos 7 dias), essa regra gera um alerta. O surgimento de um novo host, endereço IP ou nome do usuário pode indicar uma mudança de ambiente que talvez seja melhor investigar.
• Exceções de regras ampliadas com o suporte de curingas: Flexibilidade aumentada/configuração facilitada para exceções. Um novo operador (correspondências) foi lançado para a configuração de exceções, permitindo aos usuários aproveitar as expressões curinga (bem como o símbolo “?“ para a correspondência de caractere único).
• Disponibilizando a coleta de dados de produtos de segurança líderes de mercado: O Elastic 8.4 apresenta diversas novas integrações de um clique no Elastic Agent para integrar, analisar e visualizar com facilidade os dados de fontes de dados de segurança. As novas integrações são o Azure Firewall, o Cisco Identity Service Engine, o Cisco Secure Email Gateway, o Citrix Web Application Firewall, o Mimecast, o Proofpoint TAP e o SentinelOne. Nossa integração do firewall de última geração Palo Alto foi atualizada para incluir o suporte para PAN-OS 10.x e todos os tipos de log. 

Para a lista completa, consulte nossas notas de lançamento detalhadas.

Experimente

Quem já trabalha com o Elastic Cloud pode acessar muitos desses recursos diretamente no console Elastic Cloud. Se você está começando agora na Elastic, dê uma olhada em nossos guias Quick Start (pequenos vídeos de treinamento para você começar rapidamente) ou nossos cursos gratuitos de treinamento sobre fundamentos. Você pode começar gratuitamente com uma avaliação gratuita do Elastic Cloud por 14 dias. Ou baixe a versão autogerenciada do Elastic Stack também gratuitamente.

Leia sobre essas funcionalidades e muito mais nas notas de lançamento do Elastic Security Solution 8.4.0 e outros destaques do Elastic Stack no post de anúncio do Elastic 8.4.

O lançamento e o tempo de amadurecimento de todos os recursos ou funcionalidades descritos neste post permanecem a exclusivo critério da Elastic. Os recursos ou funcionalidades não disponíveis atualmente podem não ser entregues dentro do prazo previsto ou nem chegar a ser entregues.