Elastic Stack

Elastic Stack — ранее Elastic X-Pack — позволяет надежно извлекать данные из любого источника в любом формате, а также искать, анализировать и визуализировать данные в режиме реального времени. Elastic Stack включает в себя следующие решения компании Elastic: Kibana, Elasticsearch, Beats, ECE, Logstash.

2020: Elastic Stack 7.6

27 февраля 2020 года компания Elastic сообщила о выпуске релиза Elastic Stack 7.6, где существенные обновления коснулись функций информационной безопасности (ИБ). В систему добавлено около сотни политик и правил ИБ, нацеленных на выявление атак, реализующих базу знаний тактик и методов злоумышленников MITRE ATT&CK.

Основные изменения в версии 7.6 продукта, отмеченные разработчиком:

• Увеличена скорость обработки поисковых запросов, отсортированных по дате или другому полю типа «длинное целое»: в 15 раз согласно бенчмарку Lucene. Для этого использована технология Black-Max WAND. Однако запросы с использование агрегаций не получают прироста производительности в силу особенностей поискового движка.
• Проработан алгоритм машинного обучения для увеличения простоты его использования пользователем (юзабилити). Основной целью было упрощение использования таких техник, как классификация и регрессия. Аналитик безопасности может штатными средствами Elasticsearch построить модель обнаружения ботов, используя классификацию, а затем, используя процессор машинного обучения и логического вывода, выявить и маркировать анализируемый трафик по принадлежности к боту.
• В компоненте Elastic SIEM представлено обновление движка, позволяющее снижать время расследования инцидента Mean Time to Detect (MTTD) – важный параметр функционирования SOC. В частности, подготовлено около 100 готовых правил детектирования методов и тактик атак согласно базе MITRE ATT&CK, проведено ранжирование по уровням риска и приоритета, что способствует выделению наиболее важных событий. Elastic назвал результаты детектирования корреляционного движка «Signals», именно так называется корреляционный движок, разработанный более 2 лет назад в платформе AngaraCyber Resilience Center (SOC ACRC).
• В компоненте класса Endpoint Detection and Response (EDR) – Elastic Endpoint Security, на основе движка Endgame – улучшен мониторинг безопасности Windows-машин, наиболее частой цели киберзлоумышленников. Включены правила детектирования для перехвата клавиатурного ввода, загрузки вредоносного кода в процессы. По мнению разработчика, хорошим дополнением, позволяющим технологии конкурировать с распространенным Sysmon и аналогами, является интеграция этих правил с автоматическим ответом (automated responses), например, отключением процесса (kill a process).
• Улучшена интеграция с облачными сервисами Amazon Web Services (AWS) в части контроля биллинга и Google Cloud Platform (GCP), в частности с CloudTrail.

Продукты Elastic используются в качестве отдельных движков многих SIEM и SOC решений. Обновления привнесут улучшения в системы SOC при своевременном переходе на обновленные версии, утверждает разработчик.