Обновление Elastic Stack 7.6: упор на функции аналитики ИБ и повышение производительности

Обновление Elastic Stack 7.6: упор на функции аналитики ИБ и повышение производительности
672a2771d8ec981d2f936bd83acec9e2.jpg

Компания Elastic выпустила новый релиз Elastic Stack 7.6, где существенные обновления коснулись функций информационной безопасности (ИБ). В систему добавлено около сотни политик и правил ИБ, нацеленных на выявление атак, реализующих базу знаний тактик и методов злоумышленников MITRE ATT&CK.
Основные новшества в версии 7.6 продукта:
  • Увеличена скорость обработки поисковых запросов,  отсортированных по дате или другому полю типа “длинное целое”: в 15 раз согласно бенчмарку Lucene. Для этого использована технология Black-Max WAND. Однако запросы с использование агрегаций не получают прироста производительности в силу особенностей поискового движка.

  • Проработан алгоритм машинного обучения для увеличения простоты его использования пользователем (юзабилити). Основной целью было упрощение использования таких техник, как классификация и регрессия. Аналитик безопасности может штатными средствами Elasticsearch построить модель обнаружения ботов, используя классификацию, а затем, используя новый процессор машинного обучения и логического вывода, выявить и маркировать анализируемый трафик по принадлежности к боту.

  • В компоненте Elastic SIEM представлено обновление движка, позволяющее снижать время расследования инцидента Mean Time to Detect (MTTD) – важный параметр функционирования SOC. В частности, подготовлено около 100 готовых правил детектирования методов и тактик атак согласно базе MITRE ATT&CK, проведено ранжирование по уровням риска и приоритета, что способствует выделению наиболее важных событий. Elastic назвал результаты детектирования корреляционного движка «Signals», именно так называется корреляционный движок, разработанный более 2 лет назад в платформе AngaraCyber Resilience Center (SOC ACRC).

  • В компоненте класса Endpoint Detection and Response (EDR) – Elastic Endpoint Security, на основе движка Endgame – улучшен мониторинг безопасности Windows-машин, наиболее частой цели киберзлоумышленников. Уже включены правила детектирования для перехвата клавиатурного ввода, загрузки вредоносного кода в процессы. Хорошим дополнением, позволяющим технологии конкурировать с распространенным Sysmon и аналогами, является интеграция этих правил с автоматическим ответом (automated responses), например, отключением процесса (kill a process).

  • Улучшена интеграция с облачными сервисами Amazon Web Services (AWS) в части контроля биллинга и Google Cloud Platform (GCP), в частности с CloudTrail.
Эксперты группы компаний Angara рекомендуют скачивать обновления с официального сайта вендора , где также представлена подробная информация о реализованных возможностях в Elastic Stack 7.6.

Продукты Elastic используются в качестве отдельных движков многих SIEM и SOC решений. Обновления привнесут улучшения в системы SOC при своевременном переходе на новые версии.

Компания Angara Professional Assistance использует собственные разработки в Центре киберустойчивости AngaraCyber Resilience Center (SOC ACRC), способные конкурировать по функциональности с новыми фичам продуктов Elastic.  Запланирован переход на новую версию стека ELK, где решены вопросы по известным уязвимостям.  
Alt text

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group