•  

Automatisierte Erkennung von Bedrohungen

Neu in Elastic Security 7.6 ist eine SIEM-Erkennungs-Engine, die die Erkennung von Bedrohungen automatisiert, den MTTD-Wert (Mean Time to Detect – mittlere Zeit bis zur Erkennung) auf ein Minimum reduziert und es dem Security-Team erlaubt, sich auf Aufgaben zu konzentrieren, die nur durch menschliche Intuition und menschliche Kompetenzen gelöst werden können. Mit der Einführung von Elastic SIEM, in dessen Hintergrund Elasticsearch arbeitet, konnte die für die Untersuchung von Sicherheitsproblemen erforderliche Zeit bereits von Stunden auf Minuten reduziert werden. Die neue automatisierte Erkennungsfunktion in 7.6 verringert die Verweildauer von Bedrohungen noch weiter, da sie Bedrohungen erkennt, die ohne die Funktion unter dem Radar geblieben wären.

Elastic führt außerdem zum Start fast 100 vorkonfigurierte Regeln ein, die auf der ATT&CK-Knowledge-Base basieren, um Anzeichen für Bedrohungen zu erkennen, die von anderen Tools häufig nicht gefunden werden. Diese Regeln, die im Zuge des Auftretens neuer Bedrohungen kontinuierlich aktualisiert werden, spüren automatisch Tools, Taktiken und Prozeduren auf, die auf Bedrohungsaktivitäten hindeuten. Die Erkennungs-Engine generiert Risiko- und Schweregrad-Scores für Signale, die Analysten dabei helfen, eine schnelle Vorabeinstufung von Problemen vorzunehmen und sich dann wieder den Problemen zuzuwenden, die die höchste Priorität haben.

„Elastic hat unserem Security-Team dabei geholfen, sich auf das Wesentliche zu konzentrieren, indem es uns mit den Tools versorgt hat, die wir zum effizienten Durchsuchen von Millionen von Logdaten benötigen, während gleichzeitig die Zahl der Alarme auf ein überschaubares Maß reduziert wurde“, so Maxim Verreault, Security Manager bei Skytech Communications. „Die in 7.6 neu hinzukommenden vorkonfigurierten Signalerkennungsregeln in Elastic SIEM ermöglichen es uns, die Analyse unseres gesamten Bestands an Observability-Daten zu automatisieren und ohne Zeitverzug auf Bedrohungen zu reagieren. Elastic Security 7.6 bietet außerdem interessante neue Möglichkeiten für die Vernetzung innerhalb der Security-Community. Wir Experten können jetzt untereinander selbstdefinierte Signalerkennungsregeln austauschen, die bei der schnellen Erkennung neu aufkommender Bedrohungen helfen – das kommt allen zugute.“

Die Regeln können für Elastic Common Schema (ECS)-konforme Daten aus Windows-, macOS- und Linux-Systemen sowie für Netzwerkinformationen aus anderen Quellen genutzt werden. Security-Teams haben zwar die Möglichkeit, Regeln zu erstellen oder anzupassen, aber wenn ihre Umgebung um neue ECS-konforme Datenquellen erweitert wird, brauchen sie sie nicht selbst zu schreiben.

Die integrierten Elastic SIEM-Regeln zur Bedrohungserkennung werden von den Security-Experten bei Elastic entwickelt und gepflegt und ergänzen sowohl die Machine-Learning-gestützte Anomalieerkennung der SIEM-App als auch die Host-basierten Schutzfunktionen von Elastic Endpoint Security. Apropos …

Einblicke in Windows-Endpunkte

Windows-Systeme sind aufgrund ihrer enormen Verbreitung und des laxen Benutzerberechtigungsmodells des Betriebssystems ein Hauptziel von Angriffen. Elastic Security 7.6 bietet neuartige Möglichkeiten für Einblicke in Windows-Systeme und deren Schutz. So werden Daten von Orten, die für die Erkennungsvermeidungstaktiken hochentwickelter Bedrohungen anfällig sind, auf sichere Weise gesammelt und angereichert.

Neue vorkonfigurierte Erkennungsregeln können anhand dieser Daten dann Versuche aufspüren, Tastatureingaben abzufangen, Schadcode in andere Prozesse zu laden und so weiter. Security-Experten haben die Möglichkeit, den so gefundenen Ereignissen automatisierte Reaktionen zuzuordnen (z. B. Prozessabbruch), um eine mehrschichtige Vorbeugung sicherzustellen. Die Kombination aus Funktionen zum Einblick in Windows-Endpunkte und zu deren Schutz mit den bestehenden Funktionen zur Vorbeugung, Erkennung und Bekämpfung von Bedrohungen bei macOS- und Linux-Systemen bietet Nutzern von Elastic Endpoint Security einen Komplettschutz für ihre gesamte Umgebung.

Schneller Überblick über die wirklich wichtigen Dinge und damit kürzere MTTD

Die Übersichtsseite in der Elastic SIEM-App und Verbesserungen beim Workflow helfen Security-Experten, Bedrohungen schnell aufzuspüren und zu untersuchen. Der Nutzer kann sich direkt einer Untersuchung zuwenden, indem er eine Timeline öffnet, wo er die neuesten Erkennungssignale sieht und Alarme aus externen Quellen wie z. B. Elastic Endpoint Security, Palo Alto Networks, Suricata und Zeek abarbeiten kann. In der SIEM-App reicht stets ein einziger Klick, um zu den integrierten Funktionen für die Bedrohungs- und die Anomalieerkennung zu gelangen.


 
Neue Ereignis-, Alarm- und Signalhistogramme helfen Analysten, die „Operational Awareness“ zu erhöhen, und die Hosts- und die Netzwerk-Ansicht ermöglichen neue und erweiterte Visualisierungen für eine spezifischere Analyse. 

Anwendungen immer im Blick

Elastic SIEM bietet jetzt auch kuratierte Einblicke in HTTP-Daten, sodass Elastic APM-Daten direkt in der SIEM-App aufgerufen werden können. Mehrere vorkonfigurierte Beats-Module sorgen für Zugriff auf zusätzliche ECS-konforme HTTP-Daten, die es erlauben, alle Webtransaktionen einfach und schnell in einer einheitlichen Ansicht zu betrachten und zu visualisieren.

Überwachung der Cloud-Daten 

Elastic machen es noch einfacher, Daten in den Elastic Stack zu ingestieren, damit sie an einem zentralen Ort visualisiert und analysiert werden können. Ab Version 7.6 bietet Elastic Unterstützung für AWS CloudTrail-Daten und erweiterte Unterstützung für GCP. So erlaubt das Unternehmen wichtige Einblicke in moderne Angriffsschnittstellen. Auch das Visualisieren von Daten im CEF-Format, ob aus der Cloud oder von anderswo, ist dank des aktualisierten CEF-Moduls für Filebeat einfach.

https://www.elastic.co/de/

 

Diesen Artikel empfehlen