TOOLinux

Le journal du Libre

Ce qu’il faut retenir de l’annonce de la solution Elastic SIEM

jeudi 27 juin 2019

Elastic SIEM introduit un nouvel ensemble d’intégrations de données conçu pour la sécurité, ainsi qu’une nouvelle application dédiée dans Kibana. Objectif : examiner et de catégoriser les workflows de sécurité réseau et de sécurité de l’hôte.

Les origines d’Elastic SIEM

Le succès de la suite Elastic a donné des idées à l’éditeur, qui a souhaité investir dans des fonctionnalités essentielles qui lui seraient utiles. Cela a commencé par la collecte des événements et des informations de sécurité, avant de prendre en compte l’ensemble de données de sécurité liées à l’hôte collectées avec Filebeat, Winlogbeat et Auditbeat.

La société a consacré les 18 derniers mois au développement d’Elastic Common Schema (ECS), une spécification extensible de mapping de champs, ce qui permet la mise en corrélation, la recherche et l’analyse de différentes sources. L’étape suivante consistait à développer une interface qui rassemble ces différents éléments en un seul et même emplacement. C’est ainsi qu’Elastic SIEM est né.

Au cœur d’Elastic SIEM, est intégrée la nouvelle application SIEM, avec laquelle les analystes peuvent collecter et stocker les preuves des attaques, épingler et annoter les événements pertinents, mais aussi commenter leurs résultats et les partager. Le tout, depuis Kibana.



Vous pouvez déjà tester Elastic SIEM

Elastic SIEM fait partie de la distribution d’Elastic par défaut. Il est disponible gratuitement en version bêta dans la Suite Elastic 7.2 et déjà disponible dans Elasticsearch Service sur Elastic Cloud ou par téléchargement.