Elastic Stack 7.14 erweitert Security-Konzept und Suchanfragen mit Geodaten
(Bild: PopTika / shutterstock.com)
Unter dem Schlagwort Limitless XDR kombiniert die Plattform SIEM mit Endpoint-Security, um bei Angriffen gezielt Endpunkte in QuarantÀne zu schicken.
Elastic hat das Softwareportfolio Elastic Stack in Version 7.14 veröffentlicht. Mit Extended Detection and Response (XDR) fĂŒhrt Elastic Security das Security Information und Event Management (SIEM) mit Endpunkt-Security-Funktionen zusammen. Die Suche mit Elastic soll den geografischen Ort prĂ€ziser einbeziehen.
Kunden der Elastic Cloud finden eine direkte Anbindung an Microsoft Azure ĂŒber Private Link. In KĂŒrze soll eine Ă€hnliche Integration in Googles Plattform ĂŒber Google Cloud Private Service Connect folgen.
Ăbergreifender Blick auf die Security
Vor zwei Jahren hatte Elastic [1] das Security-Unternehmen Endgame ĂŒbernommen, um die Bereiche Security Information and Event Management (SIEM) und Endpoint Security zusammenzubringen. Das Ergebnis ist nun unter dem Schlagwort Limitless XDR in Elastic Security 7.14 enthalten. Das ursprĂŒnglich von Palo Alto Networks geprĂ€gte Akronym XDR steht fĂŒr Extended Detection and Response und kombiniert das Entdecken von sicherheitsrelevanten VorfĂ€llen mit gezielten Reaktionen auf spezifische Vorkommnisse.
(Bild: Elastic)
XDR soll die Datensilos mit den Sicherheitsinformationen unterschiedlicher Bereiche aufbrechen, um umfassend zu reagieren. Elastic Security bringt die Datenquellen aus dem Elastic Stack zusammen und nutzt unter anderem Machine Learning zum Erkennen von Anomalien. Mit der Ăbernahme von Endgame kam zudem ein MITRE-ATT&CK-Framework (Adversarial Tactics, Techniques & Common Knowledge) ins Unternehmen.
Die Zentrale fĂŒr Agenten
SchlieĂlich lassen sich Prozesse automatisieren, um gezielt Dateien oder Endpunkte in QuarantĂ€ne zu schicken, User-Konten zu sperren, Domains in der Firewall zu blockieren oder Software beziehungsweise Prozesse zu beenden. Zentrales Element fĂŒr das Erkennen von VorfĂ€llen ist der Elastic Agent, der sich seit Version 2.9 der Plattform [2] im Beta-Stadium befand nun allgemein verfĂŒgbar ist. Er sammelt auf den Host-Systemen einerseits die sicherheitsrelevanten Daten und kĂŒmmert sich andererseits um die Reaktion vor Ort.
FĂŒr die Verwaltung der Agenten ist Elastic Observability zustĂ€ndig, und das aktuelle Release fĂŒhrt mit Fleet eine zentrale Managementplattform fĂŒr Elastic Agents ein. Sie sammelt die zugehörigen Logs, Metriken und Traces und automatisiert das Ausrollen und Aktualisieren der Agenten auf unterschiedlichen Plattformen.
Eine Frage des Standorts
Die Neuerungen in Elasticsearch 7.14 beziehen sich vor allem auf die Bestimmung der geografischen Position. Das Einbinden prÀziserer Geodaten soll unter anderem beim Nachverfolgen von Warenlieferungen helfen oder auch bei der Analyse, ob ein Angriff auf ein Netzwerk eine lokal begrenzte oder weitlÀufigere Gefahr darstellt.
Das aktuelle Release erweitert den Umgang mit dem Datentyp [3] geo_shape, der im Gegensatz zu den einzelnen Punkten mit einem bestimmten Breiten- und LĂ€ngengrad [4] geo_point zweidimensionale Formen wie Rechtecke oder Polygone darstellt. Version 7.14 fĂŒhrt fĂŒr die Formen Suchfunktionen unter anderem zur Höhe, Breite und dem Mittelpunkt ein.
Eine weitere Neuerung in Elasticsearch ist der Feldtyp match_only_text, der wohl im Schnitt zehn Prozent weniger Speicher benötigt als regulĂ€re Textfelder. Er ist verzichtet auf zusĂ€tzliche Informationen zur Relevanz und ermöglicht keine Span-Queries [5]. Ausgelegt ist er fĂŒr die Analyse von Logdateien, bei denen die Relevanz kaum eine Rolle spielen dĂŒrfte.
Weitere Neuigkeiten im Elastic Stack lassen sich ebenso dem Elastic-Blog [6] entnehmen wie die Details zu den einzelnen Produkten Elastic Security [7], Elastic Observability [8], Elastic Search [9] und Enterprise Search [10], Kibana [11] sowie Elastic Cloud.
(rme [12])
URL dieses Artikels:
https://www.heise.de/-6154597
Links in diesem Artikel:
[1] https://www.heise.de/news/Elastic-fuehrt-SIEM-und-Endpoint-Security-zusammen-4558027.html
[2] https://www.heise.de/news/Der-Elastic-Agent-bringt-Daten-auf-neue-Art-in-den-Elastic-Stack-7-9-4874460.html
[3] https://www.elastic.co/guide/en/elasticsearch/reference/current/geo-shape.html
[4] https://www.elastic.co/guide/en/elasticsearch/reference/current/geo-point.html
[5] https://www.elastic.co/guide/en/elasticsearch/reference/7.14/span-queries.html
[6] https://www.elastic.co/de/blog/whats-new-elastic-7-14-0
[7] https://www.elastic.co/de/blog/whats-new-elastic-security-7-14-0
[8] https://www.elastic.co/de/blog/whats-new-elastic-observability-7-14-0
[9] https://www.elastic.co/de/blog/whats-new-elasticsearch-7-14-0
[10] https://www.elastic.co/de/blog/whats-new-elastic-enterprise-search-7-14-0
[11] https://www.elastic.co/de/blog/whats-new-kibana-7-14-0
[12] mailto:rme@ix.de
Copyright © 2021 Heise Medien