用于搜索企业内部数据的搜索引擎Elasticsearch开发商Elastic,更新其安全工具Elastic Security至7.6版本,Elastic Security构建于安全信息与事件管理系统Elastic SIEM和Endpoint Security工具之上,这个版本Elastic SIEM加入新的规则威胁引擎,强化了侦测与定制化规则的能力,并增强Windows主机上的端点侦测功能。
该系统加入基于规则的威胁侦测新引擎,能自动侦测企业网络中的可疑活动,并立即作出回应。Elastic Security能够扫描企业内数百万笔的日志,从中侦测并筛选出威胁,通知安全团队需要注意的事件。安全人员可以在社群中,共享自定义的威胁侦测规则,让企业用户能互助快速获得侦测新威胁的能力。
这些规则使用与Elastic Common Schema兼容的格式,可分析来自于Windows、macOS、Linux系统以及其他来源的网络数据,安全团队可以创建或自定义规则,并且自动适用于往后新加入的数据来源。Elastic也发布了符合ATT&CK知识库,现成约100个规则,可侦测恶意工具与程序,这些规则由Elastic专家创建,并且不断更新以因应新的威胁。ATT&CK是由美国政府资助的MITRE非盈利研究组织,所提出的安全框架,以标准化的方式描述入侵威胁。
除了更强的Elastic SIEM侦测功能之外,Elastic Security现在也能更全面地掌握Windows活动,并收集易受威胁规避技术掩盖的数据,其提供开箱即用的侦测功能,能够发现想要捕捉键盘输入的恶意程序,或是加载恶意程序代码至其他程序的意图。企业用户可以结合侦测规则与自动化回应,以达到分层预防的目的。
官方也在新的Elastic SIEM总览页面改进工作流程,让用户能够更快速地寻找并调查安全威胁事件。点开页面中的时间轴,就能浏览最新的侦测信号,也能查看来自Endpoint Security或Palo Alto Networks等外部来源的数据。Elastic Security 7.6也开始支持AWS CloudTrail数据,并且强化GCP的支持,提升攻击面的可见度。