
kentoh - Fotolia
Elastic veut accélérer la détection et l’investigation
La version 7.6 de sa suite dédiée à la cybersécurité embarque de nouvelles règles de détection alignées sur le framework ATT&CK du Mitre. Le tout en apportant une visibilité consolidée sur le réseau, les hôtes et les applications.
Elastic confirme ses ambitions dans la sécurité. L’éditeur vient de profiter de la conférence RSA, qui se déroulait la semaine dernière à San Francisco, pour dévoiler la version 7.6 de sa suite dédiée au domaine, Elastic Security. Et les nouveautés ne manquent pas.
Suite de l'article ci-dessous


Priorités IT 2020 : Les enjeux Sécurité des 12 prochains mois
Les cyberattaques sont en hausse constante et peuvent s'avérer fatales pour les entreprises. Découvrez au travers de cette enquête menée par LeMagIT, les priorités et enjeux en matière de cybersécurité des entreprises pour 2020.
La première est moteur de détection de signaux faibles, pour Elastic SIEM, qui s’appuie sur près d’une centaine de règles alignées sur le framework ATT&CK du Mitre. Selon l’éditeur, celles-ci doivent assurer la détection « des outils, tactiques et procédures indiquant une activité malveillante ». Des scores de risque et de sévérité sont automatiquement générés par l’outil afin d’aider les analystes à établir leurs priorités. L’ensemble s’appuie sur les données de télémétrie collectées sur les hôtes Windows, macOS et Linux, mais également sur celles remontées par les sondes réseau ou les outils de supervision applicative. Les règles peuvent être personnalisées par les équipes de sécurité.
A cela, il faut ajouter un agent d’EDR (Endpoint Dectection and Response) Windows capable de collecter des données d’activité plus étendues : tentatives d’interception de frappes clavier, injection de code dans des processus existants, etc. Et cela vaut également pour le suivi de l’exécution des scripts Powershell.
Enfin, Elastic Security 7.6 permet d’accéder aux données d’Elastic APM directement depuis l’application SIEM afin d’enquêter sur d’éventuelles activités suspectes. Les données d’AWS Cloud Trail peuvent également être ingérées, en plus des traces d’activité de Google Cloud Platform.
Pour mémoire, c’est en juin 2019 qu’Elastic a lancé son alternative packagée aux systèmes traditionnels de gestion des informations et des événements de sécurité (SIEM). Deux semaines plus tôt, l’éditeur avait annoncé le rachat d’Endgame. Et c’est à l’automne dernier qu’Elastic a présenté son offre combinant SIEM et EPP/EDR.
En profitant des collecteurs présents dans la pile – et en particulier Filebeat, Auditbeat, Packetbeat, Logbeat –, des capacités apportées par Endgame, ou encore des capacités de collecte d’événements à partir de systèmes de détection d’intrusion (IDS) tels que Bro/Zeek et Suricata, Elastic s’est donné les moyens de proposer une solution capable de consolider réseau et hôtes pour offrir une vue globale de l’environnement, jusqu’à certaines applications et API, y compris en cloud.
Pour approfondir sur Gestion de la sécurité
-
Jesper Zerlang, LogPoint avec : « nous allons proposer un service analytique cloud agnostique »
-
Observabilité : Elastic cherche à simplifier la collecte de données
-
Comment ITrust s’est positionné en fournisseur de plateforme de SOC clés en main
-
EDR : le Mitre livre les résultats de son évaluation des capacités de détection