Компания Elastic выпустила новый релиз Elastic Stack 7.6, где существенные обновления коснулись функций информационной безопасности (ИБ). В систему добавлено около сотни политик и правил ИБ, нацеленных на выявление атак, реализующих базу знаний тактик и методов злоумышленников MITRE ATT&CK.
Основные новшества в версии 7.6 продукта:
- Увеличена скорость обработки поисковых запросов, отсортированных по дате или другому полю типа “длинное целое”: в 15 раз согласно бенчмарку Lucene. Для этого использована технология Black-Max WAND. Однако запросы с использование агрегаций не получают прироста производительности в силу особенностей поискового движка.
- Проработан алгоритм машинного обучения для увеличения простоты его использования пользователем (юзабилити). Основной целью было упрощение использования таких техник, как классификация и регрессия. Аналитик безопасности может штатными средствами Elasticsearch построить модель обнаружения ботов, используя классификацию, а затем, используя новый процессор машинного обучения и логического вывода, выявить и маркировать анализируемый трафик по принадлежности к боту.
- В компоненте Elastic SIEM представлено обновление движка, позволяющее снижать время расследования инцидента Mean Time to Detect (MTTD) – важный параметр функционирования SOC. В частности, подготовлено около 100 готовых правил детектирования методов и тактик атак согласно базе MITRE ATT&CK, проведено ранжирование по уровням риска и приоритета, что способствует выделению наиболее важных событий. Elastic назвал результаты детектирования корреляционного движка «Signals», именно так называется корреляционный движок, разработанный более 2 лет назад в платформе AngaraCyber Resilience Center (SOC ACRC).
- В компоненте класса Endpoint Detection and Response (EDR) – Elastic Endpoint Security, на основе движка Endgame – улучшен мониторинг безопасности Windows-машин, наиболее частой цели киберзлоумышленников. Уже включены правила детектирования для перехвата клавиатурного ввода, загрузки вредоносного кода в процессы. Хорошим дополнением, позволяющим технологии конкурировать с распространенным Sysmon и аналогами, является интеграция этих правил с автоматическим ответом (automated responses), например, отключением процесса (kill a process).
- Улучшена интеграция с облачными сервисами Amazon Web Services (AWS) в части контроля биллинга и Google Cloud Platform (GCP), в частности с CloudTrail.
Эксперты группы компаний Angara рекомендуют скачивать обновления с официального сайта вендора, где также представлена подробная информация о реализованных возможностях в Elastic Stack 7.6.
Продукты Elastic используются в качестве отдельных движков многих SIEM и SOC решений. Обновления привнесут улучшения в системы SOC при своевременном переходе на новые версии.
Компания Angara Professional Assistance использует собственные разработки в Центре киберустойчивости AngaraCyber Resilience Center (SOC ACRC), способные конкурировать по функциональности с новыми фичам продуктов Elastic. Запланирован переход на новую версию стека ELK, где решены вопросы по известным уязвимостям.