Elastic Stack 7.4 erweitert Datensicherung und Security-Ansicht

Das Snapshot-Lifecycle-Management hilft beim Erstellen von Sicherungskopien, und eine neue Kartenansicht visualisiert Cyberangriffe.

In Pocket speichern vorlesen Druckansicht
Elastic Stack 7.4 erweitert Datensicherung und Security-Ansicht
Lesezeit: 3 Min.
Von
  • Rainald Menge-Sonnentag
Inhaltsverzeichnis

Zwei Monate nach Version 7.3 ist nun Elastic Stack 7.4 mit den zugehörigen Produkten, darunter Elasticsearch, Kibana, Beats und Logstash, erschienen. Zu den Neuerungen gehört eine bessere Verwaltung von Datensicherungen über Snapshots und die Kombination der in den beiden vorangegangenen Releases eingeführten Tools Elastic SIEM (Security Information & Event Managment) und Elastic Maps.

Letzteres Tool gehört seit der Anfang August veröffentlichten Version 7.3 zum Eleastic Stack und übernimmt der Visualisierung von Geodaten in Kibana. Elastic SIEM dient seit Elastic Stack 7.2 der Security-Analyse und bietet Ansichten auf Host- und Security-Events im Verlauf der Zeit. In Version 7.4 zeigt Elastic nun die sicherheitsrelevanten Informationen über Elastic Maps in einer geografischen Ansicht, mit der Administratoren und Security-Teams Angriffszentren erkennen können.

Elastic SIEM kann unter anderem Karten zur Netzwerkaktivität anzeigen.

(Bild: Elastic)

Die Karten verwenden Live-Daten, um so wachsende Gefahren in einzelnen Regionen sichtbar zu machen. Administratoren können die Ansicht nach spezifischen Protokollen, Endgeräten oder Meldungen filtern. Zur Lokalisierung der IP-Adressen verwenden sie den geoip-Prozessor aus Elasticsearch beziehungsweise das GeoIP-Filter-Plug-in für Logstash.

Außerdem hat Elastic die Machine-Learning-Funktionen zum Erkennen von Anomalien um 13 weitere Jobs für Windows und Linux ergänzt. Zu den Neuzugängen zählen das Erkennen verdächtiger PowerShell-Skripte und erzeugter Prozesse unter Windows und ungewöhnliche offene Ports beziehungsweise Verbindungen dazu unter Linux. Für beide Betriebssysteme existieren Jobs zum Erkennen von Prozessen mit auffälligen Bezeichnungen oder Verzeichnissen.

Security-Teams können zudem ihre eigenen ML-basierten Jobs einer siem-Jobgruppe hinzufügen. Eine Übersicht zum Verwenden spezieller oder vorgefertigter ML-Jobs findet sich in der SIEM-Dokumentation. Neuerdings sind zudem die DNS- (Domain Name System) und ASN-Informationen (Autonomous System Number) im Elastic Common Schema (ECS) definiert und lassen sich über Packetbeat, Filebeat und Winlogbeat befüllen und in SIEM-Abfragen einbeziehen.

Zu den Neuerungen in Elasticsearch gehört das Snapshot Lifecycle Management: Administratoren legen darüber fest, wann und wie oft das System automatische Snapshots eines Elasticsearch-Clusters erstellt. Bisher mussten sie dafür auf externe Werkzeuge zurückgreifen. Nun können sie wahlweise die Richtlinien über eine Webschnittstelle oder eine API vorgeben.

Das Erstellen von Snapshots lässt sich über eine Webschnittstelle verwalten.

(Bild: Elastic)

Hinsichtlich der Suchfunktionen von Elasticsearch führt Version 7.4 Pinned Queries ein, mit der sich einzelne Dokumente in der Suchanfrage höher bewerten lassen als andere. Die Anfrage erhält dazu den Eintrag pinned, der in ids eine Reihe von Dokumenten enthält und unter organic die zugehörigen Abfragen wie in folgendem Beispiel aus der Elasticsearch-Dokumentation:

GET /_search
{
"query": {
"pinned" : {
"ids" : ["1", "4", "100"],
"organic" : {
"match":{
"description": "iphone"
}
}
}
}
}

Zu den weiteren nennenswerten Neuerungen im Elastic Stack 7.4 gehört die native PKI-Authentifizierung (Public Key Infrastructure) für Kibana, mit der sich Anwender ohne Proxy anmelden können.

Die vollständige Liste der Neuerungen lässt sich dem Elastic-Blog entnehmen, der sich mit dem Satz "Version 7.4 ist ab sofort in unserem Elasticsearch Service auf Elastic Cloud verfügbar, dem einzigen gehosteten Elasticsearch-Angebot, das diese neuen Features bereithält" wohl einen kleinen Seitenhieb in Richtung des Cloud-Dienstes Amazon Web Services (AWS) erlaubt, der seit Juli eine angepasste Elasticsearch-Distribution anbietet. (rme)