TOOLinux

Le journal du Libre

Elastic Security 7.6 : des réponses aux menaces automatisées

jeudi 20 février 2020

La nouvelle version d’Elastic Security accroît les capacités de détection de menaces au niveau des points de terminaison et apporte des améliorations à Elastic SIEM.

Elastic Security 7.6 : des réponses aux menaces automatisées

100 règles exploitables d’emblée

Elastic Security 7.6 introduit un nouveau moteur de détection SIEM pour automatiser la détection des menaces et réduire au maximum le temps moyen de détection (MTTD). Cette nouvelle fonctionnalité de détection automatisée devrait réduire considérablement les temps d’arrêt en faisant apparaître des menaces qui, autrement, passeraient inaperçues.

Elastic lance également un jeu initial de 100 règles immédiatement exploitables alignées sur la base de connaissances ATT&CK pour détecter des signes de menace souvent ignorés par les autres outils. Elles seront continuellement mises à jour pour traiter de nouvelles menaces. L

Les règles sont utilisables avec les données compatibles Elastic Common Schema (ECS) provenant de systèmes Windows, macOS et Linux, ainsi qu’avec les informations réseaux fournies par d’autres sources.

Nouvelle page Overview de l’application Elastic SIEM

De nouveaux histogrammes relatifs aux événements, alertes et signes de menace permettent aussi aux analystes de mieux appréhender les opérations et d’explorer de nouvelles visualisations disponibles dans les vues Hosts et Network pour des analyses plus poussées.

Elastic SIEM offre aussi une meilleure visibilité sur les données http, permettant d’afficher les données d’Elastic APM sans quitter l’application SIEM. Un grand nombre de modules Beats donnent accès à d’autres données HTTP compatibles ECS, permettant ainsi d’examiner et de visualiser toutes les transactions web dans une vue unifiée.

Monitorer les données cloud

La version 7.6, prend désormais en charge les données AWS CloudTrail et améliore celle de Google Cloud Platform. Les données au format CEF, en provenance du cloud ou d’ailleurs, sont plus faciles à visualiser grâce à la mise à jour du module CEF de Filebeat.

Liens

- Annonce officielle et informations
- La suite Elastic