Elastic Stack 7.14 erweitert Security-Konzept und Suchanfragen mit Geodaten

Unter dem Schlagwort Limitless XDR kombiniert die Plattform SIEM mit Endpoint-Security, um bei Angriffen gezielt Endpunkte in Quarantäne zu schicken.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: PopTika / shutterstock.com)

Lesezeit: 3 Min.
Von
  • Rainald Menge-Sonnentag
Inhaltsverzeichnis

Elastic hat das Softwareportfolio Elastic Stack in Version 7.14 veröffentlicht. Mit Extended Detection and Response (XDR) führt Elastic Security das Security Information und Event Management (SIEM) mit Endpunkt-Security-Funktionen zusammen. Die Suche mit Elastic soll den geografischen Ort präziser einbeziehen.

Kunden der Elastic Cloud finden eine direkte Anbindung an Microsoft Azure über Private Link. In Kürze soll eine ähnliche Integration in Googles Plattform über Google Cloud Private Service Connect folgen.

Vor zwei Jahren hatte Elastic das Security-Unternehmen Endgame übernommen, um die Bereiche Security Information and Event Management (SIEM) und Endpoint Security zusammenzubringen. Das Ergebnis ist nun unter dem Schlagwort Limitless XDR in Elastic Security 7.14 enthalten. Das ursprünglich von Palo Alto Networks geprägte Akronym XDR steht für Extended Detection and Response und kombiniert das Entdecken von sicherheitsrelevanten Vorfällen mit gezielten Reaktionen auf spezifische Vorkommnisse.

Elastic Security 2.14 bietet einen Einblick in Security-Vorfälle und ermöglicht automatisierte oder manueller Reaktionen.

(Bild: Elastic)

XDR soll die Datensilos mit den Sicherheitsinformationen unterschiedlicher Bereiche aufbrechen, um umfassend zu reagieren. Elastic Security bringt die Datenquellen aus dem Elastic Stack zusammen und nutzt unter anderem Machine Learning zum Erkennen von Anomalien. Mit der Übernahme von Endgame kam zudem ein MITRE-ATT&CK-Framework (Adversarial Tactics, Techniques & Common Knowledge) ins Unternehmen.

Schließlich lassen sich Prozesse automatisieren, um gezielt Dateien oder Endpunkte in Quarantäne zu schicken, User-Konten zu sperren, Domains in der Firewall zu blockieren oder Software beziehungsweise Prozesse zu beenden. Zentrales Element für das Erkennen von Vorfällen ist der Elastic Agent, der sich seit Version 2.9 der Plattform im Beta-Stadium befand nun allgemein verfügbar ist. Er sammelt auf den Host-Systemen einerseits die sicherheitsrelevanten Daten und kümmert sich andererseits um die Reaktion vor Ort.

Für die Verwaltung der Agenten ist Elastic Observability zuständig, und das aktuelle Release führt mit Fleet eine zentrale Managementplattform für Elastic Agents ein. Sie sammelt die zugehörigen Logs, Metriken und Traces und automatisiert das Ausrollen und Aktualisieren der Agenten auf unterschiedlichen Plattformen.

Die Neuerungen in Elasticsearch 7.14 beziehen sich vor allem auf die Bestimmung der geografischen Position. Das Einbinden präziserer Geodaten soll unter anderem beim Nachverfolgen von Warenlieferungen helfen oder auch bei der Analyse, ob ein Angriff auf ein Netzwerk eine lokal begrenzte oder weitläufigere Gefahr darstellt.

Das aktuelle Release erweitert den Umgang mit dem Datentyp geo_shape, der im Gegensatz zu den einzelnen Punkten mit einem bestimmten Breiten- und Längengrad geo_point zweidimensionale Formen wie Rechtecke oder Polygone darstellt. Version 7.14 führt für die Formen Suchfunktionen unter anderem zur Höhe, Breite und dem Mittelpunkt ein.

Eine weitere Neuerung in Elasticsearch ist der Feldtyp match_only_text, der wohl im Schnitt zehn Prozent weniger Speicher benötigt als reguläre Textfelder. Er ist verzichtet auf zusätzliche Informationen zur Relevanz und ermöglicht keine Span-Queries. Ausgelegt ist er für die Analyse von Logdateien, bei denen die Relevanz kaum eine Rolle spielen dürfte.

Weitere Neuigkeiten im Elastic Stack lassen sich ebenso dem Elastic-Blog entnehmen wie die Details zu den einzelnen Produkten Elastic Security, Elastic Observability, Elastic Search und Enterprise Search, Kibana sowie Elastic Cloud.

(rme)