Lancement de la Suite Elastic 7.6.0
La solution Elastic SIEM mentionnée dans cet article est désormais désignée par Elastic Security. La solution Elastic Security est plus complète car elle propose une fonction SIEM, la sécurité des points de terminaison, la recherche de menaces, le monitoring du cloud et bien plus encore. Si vous recherchez des informations précises sur le traitement des cas d'utilisation SIEM avec Elastic Security, consultez notre page sur la gestion de l'information et des événements de sécurité.
Nous sommes ravis d'annoncer la disponibilité générale de la Suite Elastic 7.6. Cette version siffle le coup d'envoi d'un nouveau moteur de détection SIEM et d'un ensemble optimisé de règles de détection, que nous avons alignées sur la base de connaissances MITRE ATT&CK™, afin de rationaliser la détection automatique des menaces. Mais la version 7.6 vient aussi doper les performances d'Elasticsearch, elle accélère la mise en œuvre des tâches de machine learning supervisé grâce à des fonctionnalités d'inférence à l'ingestion, et renforce l'observabilité et la sécurité du cloud, grâce à de nouvelles intégrations de données. Et ce n'est là qu'un petit aperçu de toutes les nouveautés de cette version, qui s'avère passionnante.
La version 7.6 est d'ores et déjà disponible via Elasticsearch Service sur Elastic Cloud – la seule offre Elasticsearch hébergée à proposer ces nouvelles fonctionnalités. Et si vous préférez une expérience autogérée, vous pouvez aussi choisir de télécharger la Suite Elastic.
La présentation complète des fonctionnalités est disponible dans les articles de blog dédiés. Mais sans plus tarder, voici les grandes fonctionnalités de cette nouvelle version.
Elasticsearch devient plus rapide – oui, encore plus rapide
Ce n'est pas tous les jours que les requêtes Elasticsearch font un bond pour devenir plusieurs fois plus rapides. Cette fois, nous avons trouvé un moyen de booster radicalement les performances des requêtes qui sont triées par dates ou par d'autres valeurs assez longues. Pour ce faire, nous avons réussi à appliquer l'optimisation block-max WAND aux requêtes triées – un moyen plutôt judicieux de cesser de compter les nouveaux résultats lorsque, clairement, ils n'auront aucun impact. Oui, nous parlons bien du même algorithme Block-Max WAND qui avait accéléré la recherche des meilleurs résultats k dans la version 7.0.
C'est évidemment une énorme avancée. Les tris par date font partie des tâches les plus courantes dans les cas d'utilisation d'observabilité et de sécurité. Rechercher une erreur dans l'application Elastic Logs, examiner une menace dans Discover... Voilà quelques exemples de tâches, parmi tant d'autres, qui vont faire un bond grâce à cette nouveauté. Et pour passer à la vitesse supérieure, il suffit d'une mise à niveau vers la version 7.6.
Depuis l'apprentissage jusqu'à l'inférence, le machine learning supervisé fait désormais partie de la Suite Elastic en natif
Avec la fonctionnalité de machine learning intégrée à la Suite Elastic, notre objectif a toujours été d'en faire un outil si simple à utiliser, que n'importe qui pourrait l'exploiter. Dès son premier lancement dans la version 5.4, nous avions fait en sorte que la détection des anomalies soit aussi simple que la création d'une visualisation dans Kibana. L'outil était ainsi accessible à une audience plus large et les équipes de data science gagnaient encore en efficacité. Dans cette version 7.6, nous intégrons à la Suite des fonctionnalités de machine learning supervisé de bout en bout, depuis l'entraînement d'un modèle, jusqu'à son utilisation pour l'inférence au moment de l'ingestion. Dire que nous en sommes ravis est un euphémisme. L'idée, c'est de rendre des méthodes de machine learning supervisé comme la classification et la régression dans Elasticsearch encore plus rapides à mettre en œuvre pour les professionnels de l'observabilité, de la sécurité et de la recherche en entreprise. Par exemple, un analyste de la sécurité peut désormais développer un modèle de détection de bots qui s'appuie sur la classification, puis exploiter le nouveau processeur d'inférence à l'ingestion, afin d'inférer et de libeller le nouveau trafic en tant que bot (ou non bot) au moment de l'ingestion. Le tout, nativement, dans Elasticsearch.
Tout comme pour l'apprentissage et la détection des anomalies non supervisés, notre objectif est ici de faciliter l'utilisation du machine learning supervisé et de le rendre accessible à tous. C'est pourquoi, plutôt que de développer une boîte à outils générique de data science ou de proposer l'intégration de bibliothèques externes – ce qui obligerait les utilisateurs à bidouiller et à maintenir des workflows complexes pour déplacer les données d'un outil à un autre – nous avons préféré simplifier les cas d'utilisation courants. Cette approche nous permet de dégager de nouveaux cas d'utilisation, tout en simplifiant le côté opérationnel.
Chez Elastic, nous ne faisons pas que développer un framework : nous l'utilisons, tout comme vous. Nous sommes donc ravis d'intégrer un modèle d'identification linguistique, qu'on peut exploiter dans le processeur d'inférence à l'ingestion pour libeller la langue des documents au moment de l'ingestion. Dans bien des cas d'utilisation, l'identification de la langue est essentielle. Par exemple, un service de support technique peut exploiter cette fonctionnalité pour transférer une question au membre de l'équipe ou au site de support technique qui seront en mesure de la traiter, en fonction de la langue. Vous pouvez aussi l'utiliser pour vous assurer que le texte en entrée est correctement indexé dans Elasticsearch. Nous publierons bientôt un article à ce sujet : gardez un œil sur le blog si c'est un thème qui vous intéresse.
"Notre équipe étant responsable du réseau Wi-Fi du métro pour les systèmes de transport public de New York et de Toronto, nous avons parfaitement conscience qu'il est nécessaire de détecter les problèmes système et les anomalies de connectivité. C'est ce qui nous permet d'assurer des connexions de qualité aux millions d'usagers qui empruntent le métro chaque jour. En 2017, nous avons opté pour la détection des anomalies qui s'appuie sur la fonctionnalité de machine learning non supervisé d'Elastic. L'idée était de détecter en temps réel les problèmes que nous n'aurions pas pu déceler autrement, afin de réduire au maximum leurs répercussions sur les performances du réseau", explique Jeremy Foran, Technology Specialist chez BAI Communications. "À l'avenir, et avec l'arrivée de nouveaux systèmes de transport dans le monde entier, nous continuerons d'exploiter la Suite Elastic et les fonctionnalités de machine learning de la version 7.6 pour la connexion de nouveaux réseaux."
Pour en savoir plus sur toutes ces fonctionnalités, n'hésitez pas à consulter les articles de blog consacrés à Elasticsearch 7.6 et à Kibana 7.6.
Elastic Security
Des temps de détection quasi nuls grâce au nouveau moteur de détection SIEM et à l'alignement des règles sur MITRE ATT&CK™
Dans sa version 7.6, Elastic Security propose un nouveau moteur de détection SIEM : nous automatisons ainsi la détection des menaces et réduisons au maximum le temps moyen de détection (MTTD, ou "mean time to detect"). Elasticsearch étant au cœur d'Elastic SIEM, les analyses de sécurité ne prennent déjà plus que quelques minutes au lieu de prendre des heures. Avec cette nouvelle fonctionnalité de détection automatique, nous détectons des menaces autrement indécelables, et nous réduisons davantage le temps moyen de détection.
Nous lançons également près de 100 règles immédiatement opérationnelles, que nous avons alignées sur la base de connaissances ATT&CK, afin de vous aider à détecter des signes de menace que d'autres outils ne parviennent souvent pas à repérer. Créées et maintenues par les experts en sécurité d'Elastic, ces règles sont conçues pour détecter automatiquement les outils, tactiques et procédures symptomatiques des menaces. Le moteur de détection génère des scores de risque et de gravité en fonction des signes détectés, ce qui permet aux analystes de catégoriser efficacement les menaces et de se concentrer sur l'essentiel.
Nous publions le moteur de détection et les règles prépackagées dans le niveau Basic gratuit d'Elastic Security : l'analyse automatique à grande échelle est ainsi accessible à tous les professionnels de la sécurité, où qu'ils se trouvent.
Une visibilité inégalée sur les points de terminaison Windows : nulle évasion possible
En raison de leur popularité et de leur modèle d'autorisation permissif, les systèmes Windows constituent une cible d'attaque privilégiée. Dans cette version, nous renforçons la visibilité sur l'activité Windows, grâce à la collecte et à l'enrichissement des données provenant d'emplacements généralement vulnérables aux attaques par évasion. De nouvelles fonctionnalités de détection immédiatement opérationnelles exploitent ces données, afin d'y déceler des tentatives de capture de saisies clavier, de chargement de code malveillant dans d'autres processus, et plus encore. Les professionnels peuvent ainsi associer les événements générés par ces règles de détection à des réponses automatiques (par exemple, l'arrêt du processus), et ainsi assurer une prévention multicouche.
Avec cette fonctionnalité, Elastic Security apporte aux entreprises qui ont largement recours à Windows des niveaux de visibilité et de protection sans précédent, à des tarifs accessibles à tous les analystes.
Mais ce n'est pas tout : Elastic Security a plus d'un tour dans son sac
Entre autres bonnes nouvelles de la versions 7.6, Elastic SIEM passe en disponibilité générale. Outre le moteur de détection, sa page "Overview" (Vue d'ensemble) fait peau neuve, et côté expérience utilisateur, il intègre une pléthore d'améliorations qui vous aideront à accélérer la recherche, la catégorisation et l'examen des menaces. Pour une sécurité renforcée dans le cloud, il propose aussi de nouvelles intégrations avec les logs Amazon Web Services (AWS) et Google Cloud Platform (GCP). Envie d'en savoir plus ? Cet article dédié au lancement d'Elastic Security 7.6 vous dit tout.
Elastic Enterprise Search
Grandes entreprises : unifier la recherche sans sacrifier l'autonomie fonctionnelle
Pour les grandes entreprises, la gestion de l'expérience de recherche sur différents sites et dans différentes succursales n'est parfois pas de tout repos. Elastic App Search 7.6, siffle le coup d'envoi des métamoteurs, à savoir des moteurs sans document, qui interrogent un ensemble de moteurs. Avec les métamoteurs, les entreprises sont en mesure d'unifier leur recherche sur différents moteurs depuis une seule et même barre de recherche, tout en permettant aux administrateurs de garder le contrôle total de chaque sous-moteur.
Cette fonctionnalité sera disponible dans App Search sur Elastic Cloud, ainsi que dans la version autogérée.
Le produit Enterprise Search s'appelle maintenant Workplace Search
Elastic Enterprise Search remonte d'un cran et devient le nom générique de la solution qui regroupe notre gamme de produits de recherche. Quant au produit Enterprise Search, que nous avions lancé en version bêta en mai 2019, il est rebaptisé Elastic Workplace Search. Workplace Search permet aux entreprises et à leurs équipes d'interroger et de découvrir tout le contenu dispersé dans les nombreux outils dont sont équipés les effectifs aujourd'hui. Vous disposez ainsi d'une unique zone de recherche pour toutes vos données professionnelles.
Pour en savoir plus sur les métamoteurs et autres améliorations, vous pouvez consulter cet article qui fait le point sur Elastic Enterprise Search.
Elastic Observability
De nouvelles intégrations AWS et GCP pour une plus grande visibilité sur les opérations cloud
Nous étendons nos intégrations dans l'écosystème cloud et aidons les utilisateurs à mieux surveiller leurs opérations. Le module AWS Billing permet ainsi aux entreprises d'effectuer le suivi de leur facturation et de leur consommation sur AWS. Il vous suffit d'associer ces données aux fonctionnalités Machine Learning et Alerting pour recevoir une notification lorsque votre consommation s'écarte des modèles habituels, avant que les dépenses ne deviennent incontrôlables. De nouveaux modules GCP vous permettent aussi de monitorer directement vos machines virtuelles, et avec les tableaux de bord Kibana immédiatement opérationnels, vous passez de l'ingestion aux insights quasiment sans vous en rendre compte. Avec ces nouvelles intégrations de données cloud qui viennent s'ajouter à toutes celles que nous avons lancées dans les dernières versions, vos opérations cloud n'ont plus aucun secret pour vous.
Quand on aime les standards ouverts, on ne compte pas : Jaeger est maintenant nativement pris en charge dans Elastic APM
De l'open source au code ouvert, tout ce que nous faisons est ouvert. Lorsque nous voyons la communauté de l'observabilité développer des standards ouverts et les adopter, avec des initiatives comme OpenTracing et OpenTelemetry, non seulement nous sommes ravis, mais nous sommes déterminés à les prendre en charge dans Elastic Observability. C'est le cas de Jaeger, un projet CNCF passé au niveau Graduated, qui remporte un franc succès pour le traçage de bout en bout des requêtes, et qui est compatible avec les standards OpenTracing. Il se trouve que les agents Elastic APM sont compatibles OpenTracing depuis le début. Nous sommes donc plus qu'heureux de jeter un pont plus direct entre Jaeger et Elastic APM, et d'annoncer la prise en charge de l'ingestion Jaeger dans la version 7.6.
L'ingestion des traces Jeager peut maintenant passer par Elastic APM, ce qui permet à l'utilisateur d'ingérer les traces instrumentées par Jaeger directement dans Elasticsearch via le serveur APM, sans devoir modifier le code existant instrumenté par Jaeger. Il vous suffit donc d'ingérer vos traces instrumentées par Jaeger dans Elastic APM pour les examiner avec vos autres logs et indicateurs. Le tout, en deux temps, trois mouvements.
Entre autres fonctionnalités d'Elastic Observability, citons :
- La catégorisation des logs via Machine Learning, qui regroupe les logs aux formats similaires et facilite l'analyse des tendances
- La fonctionnalité d'annotation de version d'Elastic APM, qui détecte la publication de nouvelles versions de services et annote automatiquement la chronologie dans l'application APM
Pour tout savoir sur les nouvelles fonctionnalités d'Elastic Observability, consultez cet article de blog détaillé.
Et ce n'est pas tout...
Loin de là. N'hésitez donc pas à consulter les articles de blog que nous consacrons à chaque produit pour découvrir toutes les nouveautés de la version 7.6 :
La Suite Elastic
Solutions