Elastic Security 8.8:强大的端点响应、警报分类和数据准确性可提高安全效率
原创Elastic Security 8.8:强大的端点响应、警报分类和数据准确性可提高安全效率
原创
随着网络威胁的数量和复杂性不断增加,安全分析师面临越来越大的压力,需要以最大效率保护其组织免受攻击。Elastic Security 8.8 引入了旨在帮助分析师消化、确定优先级并快速响应安全事件的功能。这些功能包括:
- 改进的警报分类体验,通过可自定义的控件和多字段分组,使安全分析师能够对警报进行分类和组织,以确保他们能够快速解决最关键的问题。
- 新的执行命令功能使分析师能够有效地在远程灵活诊断和修复主机上的安全问题,而无需在物理上访问设备。
- 使用新的数据质量仪表板快速识别和解决数据质量问题,确保数据准确、完整和最新。
- 我8.8版本中,我们发布云原生漏洞管理功能的测试版,可以快速识别和纠正云环境中的漏洞,并提供容器工作负载保护(CWP),以为容器化环境提供应用程序和数据安全保障。
Elastic Security 8.8 可在 Elastic Cloud 上使用——这是唯一包含此最新版本中所有新功能的托管 Elasticsearch 产品。您还可以下载 Elastic Stack和我们的云编排产品 Elastic Cloud Enterprise 和 Elastic Cloud for Kubernetes,以获得自我管理的体验。
Elastic 8.8 中还有哪些新内容?查看 8.8 公告帖子以了解更多信息.
简化警报分类
在 8.7 中引入警报分组后,Elastic Security 继续改进警报分类体验,方法是添加可自定义的控件以启用增强过滤以及多字段分组以进一步组织警报。
由于每天面临大量警报,安全分析师面临警报疲劳。对信息进行分组和优先排序对于减轻频繁警报的负担至关重要。通过向 8.7 警报分组功能添加多字段分组,用户可以将信息进一步分组到可管理的信息桶中。此外,警报页面控件允许快速过滤优先级信息。无论是使用默认控件、自定义您自己的控件,还是遵循仪表板中的预建控件,用户都可以快速将他们的重点关注到最重要的警报。
借助强大的端点响应功能(新增Execute 响应操作)缩短 MTTR
Elastic Security 8.8 通过添加Execute 响应操作继续扩展我们的响应操作功能。执行响应操作使安全分析师和管理员能够通过我们的集中响应控制台在主机上远程执行终端命令,而无需分析师对主机进行物理访问。 这提供了根据特定威胁或事件执行自定义命令或脚本以进行补救和响应的灵活性
例如,恶意软件通常会使用持久性技术尽可能长时间地保留在受感染的主机上。Windows 系统上的一种常见技术是创建计划任务以重复执行任何有效负载或命令。在这种情况下,我们在通过端点行为规则识别行为并在分析期间被分析师捕获后,将使用Execute响应操作来删除恶意软件在该主机上创建的计划任务,以进行响应。
这只是 Execute 操作提供高级安全操作所需的关键响应能力的一个例子。该功能已在8.8版本中对每个由 Elastic Agent 保护的操作系统进行了普遍可用,并且可通过 Elastic Security Enterprise 订阅层进行访问,适用于自托管和云部署。
使用数据质量仪表板提高数据准确性
在 8.8 版本中,Elastic Security 带来了一个用于评估和监控数据质量的工作区。数据质量仪表板简化了确定数据是否准确映射到 Elastic Common Schema (ECS) 的过程,还提供了对索引存储使用情况的可见性。数据质量仪表板只需单击一下即可检查所有索引是否存在映射冲突,并且可以通过案例与组织中的其他成员共享结果。
通过仪表板,可以轻松查看任何索引中不兼容字段映射的摘要以及字段缺少预期映射时的详细信息。仪表板使用户能够及时识别和解决数据质量问题,确保数据的准确性、完整性和及时性。通过确保数据完整性,我们可以更有效地检测和预防网络威胁,同时增强人们对我们保护数据和资产能力的信任。
使用容器工作负载保护 (CWP) 保护云工作负载
容器和 Kubernetes 的出现已经彻底改变了软件应用程序的开发、部署和管理方式。Elastic Security 为应对为容器运行时环境提供全面保护的挑战,将在8.8中发布Container Workload Protection(CWP)解决方案的beta版本。
CWP 提供了三层方法来确保应用程序和数据的安全性,包括检测针对容器化环境的独特威胁、通过跟踪容器文件系统的更改来防止漂移,并使用强大的策略语言来锁定容器并防止未经授权的访问。通过 CWP,团队可以安全地将其容器部署到生产环境中,而不必担心安全威胁。阅读有关此新功能的更多信息。
引入云原生漏洞管理
Elastic Security for Cloud 通过引入新的集成——云原生漏洞管理 (CNVM) ——目前为测试版,继续扩展其功能。随着云安全变得越来越重要,我们的最新功能使组织能够有效地检测和减轻其云工作负载中的潜在安全风险。
CNVM 功能利用了 AWS snapshot API 和 AWS CloudFormation 的强大功能。在每次扫描期间,单个集成实例使用 AWS snapshot API 为其区域中的所有 AWS EC2 工作负载拍摄快照,并分析它们是否存在漏洞。这一突破性的功能保留了宝贵的工作负载资源,降低了成本并确保在扫描期间不间断的工作负载性能。
CNVM 的独特之处在于其轻松的安装过程. 用户现在只需单击一下即可启动该解决方案,从而利用 AWS CloudFormation 模板的便利性。这种简化的部署不仅节省了时间,而且加快了实现价值的时间,使组织能够迅速识别和解决漏洞。借助 CNVM,增强整体云安全状况从未如此简单。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。