Lanzamiento del Elastic Stack 7.6.0
La solución Elastic SIEM mencionada en este blog ahora se denomina Elastic Security. La solución Elastic Security más amplia proporciona SIEM, seguridad de endpoint, búsqueda de amenazas, monitoreo del cloud y más. Si buscas información específica sobre Elastic Security para casos de uso de SIEM, visita nuestra página de SIEM.
Nos complace anunciar la disponibilidad general de la versión 7.6 del Elastic Stack. Esta versión optimiza la detección automática de amenazas gracias al lanzamiento de un nuevo motor de detección de SIEM y un conjunto seleccionado de reglas de detección alineadas con la base de conocimientos MITRE ATT&CK™, aporta mejoras de rendimiento a Elasticsearch, hace que el Machine Learning supervisado esté mejor preparado para el uso con características de inferencia en la ingesta y profundiza la seguridad y observabilidad de la cloud con el lanzamiento de integraciones de datos nuevas. Y esa es solo una pequeña porción de todo lo nuevo y emocionante que incluye este lanzamiento.
La versión 7.6 ya está disponible en nuestro Elasticsearch Service en Elastic Cloud, la única propuesta de Elasticsearch hospedada que incluye estas nuevas características. O puedes descargar el Elastic Stack para una experiencia autoadministrada.
El resumen completo de las características se encuentra en los blogs individuales, pero, sin más preámbulos, aquí presentamos los aspectos más destacados de la versión.
Elasticsearch se vuelve más rápido; sí, incluso más
No es habitual que podamos acelerar en gran medida las búsquedas en Elasticsearch. En esta ocasión, encontramos una manera de mejorar drásticamente el rendimiento de las búsquedas ordenadas por fecha u otro valor largo. Para hacerlo, pudimos aplicar la optimización Block-Max WAND en las búsquedas ordenadas: una forma inteligente para dejar de contar resultados nuevos cuando claramente no cambiarán los resultados. Sí, el mismo Block-Max WAND que aceleró tus búsquedas de un número determinado (top k) de coincidencia en la versión 7.0.
En caso de que no sea evidente, esto es importantísimo. Ordenar por hora es una de las tareas más comunes en los casos de uso de seguridad y observabilidad. Perseguir un error en la app Elastic Logs o investigar una amenaza en Discover son algunas de las muchas acciones que serán más rápidas de lo habitual gracias a este cambio. Y puedes disfrutar de este aumento de la velocidad simplemente actualizando a la versión 7.6.
Desde el entrenamiento hasta la inferencia, el Machine Learning supervisado ahora es una parte nativa del Elastic Stack
Nuestro objetivo con el Machine Learning en el Elastic Stack siempre ha sido facilitar que cualquiera en una organización pueda usarlo. En el primer lanzamiento en la versión 5.4, hicimos que la detección de anomalías fuera tan fácil como crear una visualización en Kibana; lo cual hizo que fuera accesible a una mayor audiencia y que los equipos de ciencia de datos fueran incluso más eficaces. En la versión 7.6, nos entusiasma incorporar capacidades de Machine Learning supervisado integrales al stack, desde el entrenamiento de un modelo hasta su uso para inferencia al momento de la ingesta. El objetivo es que los métodos de Machine Learning supervisado como la clasificación y regresión en Elasticsearch estén incluso mejor preparados para el uso por parte de los especialistas en casos de uso de observabilidad, seguridad y búsqueda empresarial. Por ejemplo, un analista de seguridad ahora puede crear un modelo de detección de bots a través de la clasificación y luego usar el nuevo procesador de ingesta de inferencia para inferir y etiquetar el tráfico nuevo como un bot (o no) al momento de la ingesta; todo de forma nativa dentro de Elasticsearch.
Al igual que con el aprendizaje sin supervisión y la detección de anomalías, nuestro objetivo es que el Machine Learning supervisado sea fácil y accesible para todos. Por lo tanto, nos enfocamos en simplificar los casos de uso comunes, en lugar de crear un kit de herramientas de ciencia de datos genérico o proporcionar integración con bibliotecas de Machine Learning externas que requieren que los usuarios confeccionen y mantengan flujos de trabajo complejos que mueven datos a través de varias herramientas. Con este enfoque, liberamos casos de uso nuevos y mantenemos la simpleza del lado operativo.
No solo estamos creando el marco de trabajo; también somos usuarios. Nos entusiasma incluir un modelo de identificación de idiomas que se pueda usar en el procesador de ingesta de inferencia para etiquetar el idioma de los documentos al momento de la ingesta. La identificación de idiomas es clave en muchos casos de uso. Por ejemplo, un centro de soporte puede usar esta característica para enrutar una pregunta entrante al agente de soporte o la ubicación de soporte correctos según el idioma, y puedes usarla para asegurarte de que el texto entrante se indexe correctamente en Elasticsearch; mantente atento, publicaremos un blog al respecto.
“Como equipo responsable de la red wifi del metro en sistemas de transporte público en la ciudad de Nueva York y Toronto, somos sumamente conscientes de la necesidad de detectar problemas del sistema y anomalías en la conectividad. Esto asegura que podamos proporcionar conexiones de calidad a millones de usuarios del transporte a diario. En 2017, recurrimos a la detección de anomalías impulsada por Machine Learning sin supervisión de Elastic para detectar problemas que de otra forma no se hubieran identificado en tiempo real, lo que minimizó el impacto en el rendimiento de la red”, dijo Jeremy Foran, especialista en tecnología de BAI Communications. “Con la mirada puesta en el futuro y la incorporación de más sistemas de transporte en todo el mundo, seguiremos aprovechando las características de Machine Learning supervisado en el Elastic Stack 7 para poner en línea redes nuevas”.
Para obtener más detalles sobre todas estas características y más, echa un vistazo al blog de Elasticsearch 7.6 y al blog de Kibana 7.6.
Elastic Security
Tiempo de permanencia casi nulo con un motor de detección de SIEM nuevo y reglas alineadas con MITRE ATT&CK™
La versión 7.6 de Elastic Security presenta un motor de detección de SIEM nuevo para automatizar la detección de amenazas y minimizar el tiempo promedio hasta la detección (MTTD). Con Elasticsearch como elemento principal, Elastic SIEM ya reduce el tiempo de investigación de seguridad de horas a minutos. Gracias a esta nueva capacidad de detección automatizada, reducimos el tiempo de permanencia revelando amenazas que de lo contrario se omitirían.
También estamos lanzando casi 100 reglas listas para usar alineadas con la base de conocimientos ATT&CK que pueden ayudar a revelar señales de amenazas que otras herramientas suelen omitir. Estas reglas, creadas y mantenidas por los expertos de seguridad de Elastic, están diseñadas para detectar automáticamente herramientas, tácticas y procedimientos que indican la actividad de amenazas. Las puntuaciones de riesgo y gravedad de las señales que genera el motor de detección ayudan a los analistas con la priorización eficiente y a enfocarse en lo más importante.
Estamos lanzando el motor de detección y las reglas incluidas en el nivel Básico gratuito de Elastic Security; lo que hace que el análisis automatizado a escala esté libremente disponible para los especialistas en seguridad en todos lados.
Visibilidad sin precedentes de endpoints de Windows que derrota los intentos de los adversarios de evadir las defensas
Los sistemas de Windows son un objetivo de ataque importante debido a su popularidad y modelo tolerante de permisos de usuario. En este lanzamiento se profundiza la visibilidad de la actividad de Windows, recopilando y enriqueciendo datos de ubicaciones que tradicionalmente son vulnerables a las técnicas de evasión de las amenazas avanzadas. Las nuevas detecciones listas para usar aprovechan estos datos para detectar intentos de capturar entradas del teclado, cargar código malintencionado en otros procesos y más. Los especialistas pueden emparejar eventos generados por estas reglas de detección con respuestas automatizadas (por ejemplo, terminar un proceso) para lograr una prevención en capas.
Con esta funcionalidad, Elastic Security aporta niveles de visibilidad y protección sin precedentes a las empresas con un gran consumo de productos de Windows, y a un precio accesible para todos los analistas.
Pero eso no es todo en Elastic Security…
Elastic SIEM está a disposición del público en general en la versión 7.6. Además del motor de detección, incluye una página Overview (Visión general) rediseñada y una gran cantidad de mejoras para el usuario que permiten acelerar la detección, priorización e investigación de amenazas. Las integraciones nuevas en logs de Amazon Web Services (AWS) y Google Cloud Platform (GCP) permiten una mayor seguridad de la cloud. Obtén todos los detalles en el blog de anuncio de Elastic Security 7.6.
Elastic Enterprise Search
Unificación de la búsqueda en empresas grandes sin sacrificar la autonomía funcional
Puede resultar difícil para las empresas grandes administrar la experiencia de búsqueda en varios sitios y unidades de negocios. En Elastic App Search 7.6 se presentan metamotores, motores sin documentos que buscan en un conjunto de motores. Con los metamotores, las organizaciones obtienen la capacidad de unificar búsquedas entre varios motores desde una misma barra de búsqueda mientras continúan permitiendo el total control de los administradores sobre el comportamiento de cada submotor individual.
Esta característica estará disponible para App Search en Elastic Cloud y en la versión autoadministrada.
El producto Enterprise Search ahora se llama Workplace Search
Seleccionamos Elastic Enterprise Search como el nuevo nombre “general” de la solución que comprende nuestro conjunto de productos de búsqueda. Y nuestro producto Enterprise Search, lanzado en versión beta en mayor de 2019, ahora se denomina Elastic Workplace Search. Workplace Search permite a los equipos y organizaciones buscar y descubrir todo el contenido diseminado en las diferentes herramientas que impulsan la fuerza de trabajo moderna. Es el cuadro de búsqueda único para todos tus datos de trabajo.
Obtén información sobre los metamotores y otras mejoras en la actualización de Elastic Enterprise Search.
Observabilidad de Elastic
Las nuevas integraciones con AWS y GCP aportan mayor visibilidad de las operaciones de la cloud
Estamos ampliando nuestras integraciones en el ecosistema de la cloud y ayudando a nuestros usuarios a mantener mejores pestañas en sus operaciones en la cloud. El módulo de facturación de AWS permite a las empresas hacer un seguimiento de su facturación y uso de AWS. Combina estos datos con características de Machine Learning y alertas para recibir notificaciones sobre patrones de uso inusuales antes de que los gastos se salgan de control. Los módulos de GCP nuevos te permiten monitorear directamente las VM y cualquier servicio de GCP monitoreado por StackDriver, y los dashboards de Kibana listos para usar significan que puedes pasar de la ingesta a la información con un mínimo esfuerzo y sin demora. Estas integraciones nuevas de datos de la cloud, junto con muchas otras agregadas en lanzamientos recientes, aportan mayor visibilidad de las operaciones de la cloud.
Dos por uno en estándares abiertos con soporte nativo de Jaeger en Elastic APM
Del open source al código abierto, la apertura es la esencia de todo lo que hacemos. Es emocionante ver a la comunidad de observabilidad desarrollar y adoptar estándares abiertos con iniciativas como OpenTracing y OpenTelemetry, y estamos comprometidos a dar soporte a estos estándares abiertos en Elastic Observability. Jaeger, un proyecto graduado de CNCF, es una elección popular para el seguimiento integral de solicitudes compatible con los estándares de OpenTracing. Los agentes de Elastic APM son compatibles con OpenTracing desde el inicio. Estamos encantados de proporcionar un puente incluso más directo entre Elastic APM y Jaeger mediante el soporte de entrada de Jaeger en la versión 7.6.
Elastic APM ahora actúa como una entrada de Jaeger, lo que permite a los clientes ingestar rastreos instrumentados con Jaeger directamente en Elasticsearch a través del servidor APM sin necesidad de modificar el código existente instrumentado con Jaeger. Los usuarios ahora pueden incorporar sus rastreos instrumentados con Jaeger a Elastic APM y explorarlos junto a sus logs y métricas sin demoras y con un mínimo esfuerzo.
Otros aspectos destacados de Elastic Observability:
- La categorización de logs, impulsada por Machine Learning, agrupa logs con formatos similares y simplifica el análisis de tendencias.
- La anotación de lanzamiento en Elastic APM detecta cuando se lanzan versiones nuevas de servicios y anota automáticamente el cronograma en la app APM.
Descubre todas características nuevas de Elastic Observability en el blog detallado.
Siempre hay más...
Mucho más. Accede a los blogs de los productos individuales para conocer los detalles de todo lo que agregamos en la versión 7.6:
El Elastic Stack
- Elasticsearch 7.6.0 released (Lanzamiento de Elasticsearch 7.6.0)
- Kibana 7.6.0 released (Lanzamiento de Kibana 7.6.0)
Soluciones
- Elastic Enterprise Search update (Actualización de Elastic Enterprise Search)
- Elastic Observability 7.6.0 released (Lanzamiento de Elastic Observability 7.6.0)
- Elastic Security 7.6.0 released (Lanzamiento de Elastic Security 7.6.0)