Elastic Stack 7.6: Neue SIEM-Erkennungs-Engine & verbessertes Machine Learning

Katharina Degenmann

© Shutterstock/ Sergii Gnatiuk

Der Elastic Stack und die zugehörigen Produkte Elasticsearch, Kibana, Beats und Logstash sind in Version 7.6 erschienen. Jede Komponente wartet für gewöhnlich mit einigen Neuerungen auf, die größte Änderung dürfte aber die nun verfügbare SIEM Detection Engine sein. Zudem wurde das Machine Learning weiter optimiert.

Mit Elastic Stack 7.6 wurde im Einzelnen an den Such-, Beobachtungs- und Sicherheitslösungen geschraubt. Jede Komponente ist wie üblich mit einigen Neuerungen gerüstet. Das wohl größte Highlight der neuen Version ist allerding die neu eingeführte SIEM-Erkennungs-Engine ein, um die Erkennung von Bedrohungen zu automatisieren.

Elastic Stack 7.6: Das ist neu

Tuning für Elasticsearch

Elasticsearch ist eine Suchplattform, die auf das Apache-Projekt Lucene aufsetzt und eine Reihe nützlicher Funktionalität integriert, etwa die Aufteilung von Daten auf mehrere Shards und eine automatisierte Daten-Replikation. Elasticsearch ist ein dokumentenorientierter Data Store, in dem beliebig komplexe JSON-Objekte (documents) gespeichert werden können. Geboten wird eine verteilte, Multitenant-fähige Volltext-Suchengine mit einem RESTful Web Interface und Schema-freien JSON-Dokumenten.

Im neuen Release wurde unter anderem an Elasticsearch geschraubt, dass nun deutliche Verbesserungen in der Performance von Abfragen vorweisen soll. Dies sei auf die Blockmax-WAND-Optimierung zurückzuführen, die bei den sorted queries zum Einsatz kam. Durch ein Upgrade auf Version 7.6 soll beispielsweise das Aufspüren eines Fehlers in der Elastic Logs-App oder die Untersuchung einer Bedrohung in Discover schneller von der Hand gehen.

Machine Learning ist mit an Bord

Auch eine Palette an Analyse- und Machine-Learning-Methoden ist in Version 7.6 der Analyse-Plattform hinzugekommen. Mit 7.6 bringt Elastic durchgehend überwachte Machine Learning-Fähigkeiten auf den Stack, vom Training eines Modells bis zur Verwendung des Modells zur Inferenz zur Aufnahmezeit.

Ein Sicherheitsanalytiker kann jetzt beispielsweise ein Bot-Erkennungsmodell unter Verwendung der Klassifikation erstellen und anschließend den neuen Inferenz-Ingestprozessor verwenden, um neuen Datenverkehr zur Ingest-Zeit als Bot (oder nicht als Bot) abzuleiten und zu kennzeichnen – alles nativ innerhalb von Elasticsearch.

Quelle: Elastic Blog

Elastic Security mit neuer Erkennungs-Engine

Im Bereich Sicherheit zählt die neu eingeführte SIEM Detection Engine zu den größten Neuerungen. Mit dieser lässt sich die Erkennung von Bedrohungen automatisieren und die Mean Time to Detection (MTTD) minimieren.

Zudem stehen nun 100 out-of-the-box-Regeln zur Verfügung, die auf die ATT&CK knowledge base abgestimmt sind und dazu beitragen können, Bedrohungssignale aufzudecken, die von anderen Tools oft übersehen werden. Laut den Release Notes wurden die Regeln so konzipiert, dass sie automatisch die Werkzeuge, Taktiken und Prozeduren erkennen, die auf die Aktivität einer Bedrohung hinweisen. Durch Risiko- und Schweregrad-Scores von Signalen, die von der Erkennungsmaschine erzeugt werden, sollen Analysten bei Überwachung unterstützt werden.

Quelle: Elastic Blog

Cloud: Neue AWS- und GCP-Integrationen

Neben den oben genannten Features wurden auch im Bereich Elastic Observability einige Neuerungen eingeführt. Genauer gesagt, wurde die Sicherheit von Clouds durch die Einführung neuer Datenintegrationen verbessert. Hierbei kommen Warnfunktionen zum Einsatz, die ebenfalls auf Machine Learning basieren und Nutzer bei ungewöhnlichen Nutzungsmustern alarmieren.

Mit den neuen GCP-Modulen lassen sich VMs sowie alle GCP-Dienste, die normalerweise von Stackdriver überwacht werden, direkt kontrollieren. Durch Kibana-Dashboards könne man mit minimalem Aufwand von der Aufnahme zur Einsicht übergehen.

Überdies hat Elastic Stack 7.6 ein neues AWS-Abrechnungsmodul mit an Bord, mit dem Unternehmen ihre AWS-Abrechnung und -Nutzung verfolgen können.

Weitere Informationen

Wer die Enterprise-Variante Elastic Enterprise Search nutzt, wird feststellen, dass das im Mai 2019 als Beta-Version eingeführt Enterprise-Search-Produkt ab sofort Elastic Workplace Search heißt. Die Workplace Search ermöglicht es Teams und Unternehmen, alle Inhalte zu suchen und zu entdecken, die über die vielen Tools verstreut sind.

Alle weiteren Informationen zum Release von Elastic Stack 7.6 stehen auf dem Blog zum Nachlesen bereit.

Geschrieben von
Katharina Degenmann
Katharina Degenmann
Katharina ist hauptberuflich hilfsbereite Online- und Print-Redakteurin sowie Bücher- und Filme-Junkie. Nebenbei ist sie Möchtegern-Schriftstellerin, die heimlich hofft, eines Tages ihr Geld als Kaffee-Testerin zu verdienen. Von Februar 2018 bis Februar 2020 hat sie als Redakteurin bei der Software & Support Media GmbH gearbeitet, davor hat sie Politikwissenschaft und Philosophie studiert.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: