Обновление Elastic Stack 7.6: упор на функции аналитики ИБ и повышение производительности

Обновление Elastic Stack 7.6: упор на функции аналитики ИБ и повышение производительности
672a2771d8ec981d2f936bd83acec9e2.jpg

Компания Elastic выпустила новый релиз Elastic Stack 7.6, где существенные обновления коснулись функций информационной безопасности (ИБ). В систему добавлено около сотни политик и правил ИБ, нацеленных на выявление атак, реализующих базу знаний тактик и методов злоумышленников MITRE ATT&CK.
Основные новшества в версии 7.6 продукта:
  • Увеличена скорость обработки поисковых запросов,  отсортированных по дате или другому полю типа “длинное целое”: в 15 раз согласно бенчмарку Lucene. Для этого использована технология Black-Max WAND. Однако запросы с использование агрегаций не получают прироста производительности в силу особенностей поискового движка.

  • Проработан алгоритм машинного обучения для увеличения простоты его использования пользователем (юзабилити). Основной целью было упрощение использования таких техник, как классификация и регрессия. Аналитик безопасности может штатными средствами Elasticsearch построить модель обнаружения ботов, используя классификацию, а затем, используя новый процессор машинного обучения и логического вывода, выявить и маркировать анализируемый трафик по принадлежности к боту.

  • В компоненте Elastic SIEM представлено обновление движка, позволяющее снижать время расследования инцидента Mean Time to Detect (MTTD) – важный параметр функционирования SOC. В частности, подготовлено около 100 готовых правил детектирования методов и тактик атак согласно базе MITRE ATT&CK, проведено ранжирование по уровням риска и приоритета, что способствует выделению наиболее важных событий. Elastic назвал результаты детектирования корреляционного движка «Signals», именно так называется корреляционный движок, разработанный более 2 лет назад в платформе AngaraCyber Resilience Center (SOC ACRC).

  • В компоненте класса Endpoint Detection and Response (EDR) – Elastic Endpoint Security, на основе движка Endgame – улучшен мониторинг безопасности Windows-машин, наиболее частой цели киберзлоумышленников. Уже включены правила детектирования для перехвата клавиатурного ввода, загрузки вредоносного кода в процессы. Хорошим дополнением, позволяющим технологии конкурировать с распространенным Sysmon и аналогами, является интеграция этих правил с автоматическим ответом (automated responses), например, отключением процесса (kill a process).

  • Улучшена интеграция с облачными сервисами Amazon Web Services (AWS) в части контроля биллинга и Google Cloud Platform (GCP), в частности с CloudTrail.
Эксперты группы компаний Angara рекомендуют скачивать обновления с официального сайта вендора , где также представлена подробная информация о реализованных возможностях в Elastic Stack 7.6.

Продукты Elastic используются в качестве отдельных движков многих SIEM и SOC решений. Обновления привнесут улучшения в системы SOC при своевременном переходе на новые версии.

Компания Angara Professional Assistance использует собственные разработки в Центре киберустойчивости AngaraCyber Resilience Center (SOC ACRC), способные конкурировать по функциональности с новыми фичам продуктов Elastic.  Запланирован переход на новую версию стека ELK, где решены вопросы по известным уязвимостям.  
Alt text
Комментарии для сайта Cackle

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group