用於搜尋企業內部資料的搜尋引擎Elasticsearch開發商Elastic,更新其安全工具Elastic Security至7.6版本,Elastic Security建構於安全資訊與事件管理系統Elastic SIEM和Endpoint Security工具之上,這個版本Elastic SIEM加入新的規則威脅引擎,強化了偵測與客製化規則的能力,並增強Windows主機上的端點偵測功能。

該系統加入基於規則的威脅偵測新引擎,能自動偵測企業網路中的可疑活動,並立即作出回應。Elastic Security能夠掃描企業內數百萬筆的日誌,從中偵測並篩選出威脅,通知安全團隊需要注意的事件。安全人員可以在社群中,共享自定義的威脅偵測規則,讓企業用戶能互助快速獲得偵測新威脅的能力。

這些規則使用與Elastic Common Schema相容的格式,可分析來自於Windows、macOS、Linux系統以及其他來源的網路資料,安全團隊可以創建或自定義規則,並且自動適用於往後新加入的資料來源。Elastic也發布了符合ATT&CK知識庫,現成約100個規則,可偵測惡意工具與程序,這些規則由Elastic專家創建,並且不斷更新以因應新的威脅。ATT&CK是由美國政府資助的MITRE非營利研究組織,所提出的資安框架,以標準化的方式描述入侵威脅。

除了更強的Elastic SIEM偵測功能之外,Elastic Security現在也能更全面地掌握Windows活動,並收集易受威脅規避技術掩蓋的資料,其提供開箱即用的偵測功能,能夠發現想要捕捉鍵盤輸入的惡意程式,或是載入惡意程式碼至其他程序的意圖。企業使用者可以結合偵測規則與自動化回應,以達到分層預防的目的。

官方也在新的Elastic SIEM總覽頁面改進工作流程,讓用戶能夠更快速地尋找並調查安全威脅事件。點開頁面中的時間軸,就能瀏覽最新的偵測訊號,也能查看來自Endpoint Security或Palo Alto Networks等外部來源的資料。Elastic Security 7.6也開始支援AWS CloudTrail資料,並且強化GCP的支援,提升攻擊面的可見度。


Advertisement

更多 iThome相關內容