ElasticNV对弹性堆栈的最新更新的亮点是引入了用于安全信息和事件管理(SiEM)的核心数据模型和用户界面。由于该公司一直在为其核心开源搜索引擎展开竞争,埃拉奇试图通过为其日志、搜索和分析堆栈开发围绕通用用例的应用程序来重定向对话。去年秋天,APM解决方案的扩展,增加了将应用程序性能与基础设施日志、服务器度量和安全事件相关联的新功能。
这个7.2版本最初只能通过弹性公共云管理服务ElasticSearchService获得,并在Kibana的一个新的专用暹粒应用程序(beta版)中下载。Siem特性为一个更加充实的解决方案奠定了基础,新的弹性公共模式(ElasticCommonSchema)是一种用于字段命名约定和数据类型的开源规范;将新的公共模式视为用于分析安全事件的不同类型的日志、度量和其他上下文数据的Rosetta Stone。此外,7.2版还为安全事件添加了专门的用户界面,提供了一个时间线查看器,用于存储攻击证据、锁定和注释相关事件,并提供查询过滤功能。
7.2版还添加了与Cisco和PaloAlto防火墙的集成,这些防火墙来自现有的支持,用于收集基于主机的安全数据和Auditbeat,该数据收集来自Linux操作系统审计框架的数据,以及与Windows执行类似任务的Winlogbeat。
弹性查看属于威胁检测工作流范畴的主要用例,在这些情况下,安全专业人员希望深入研究不同警报的迫切性,或者采用积极主动的方法检查潜在的网络威胁场景。当7.2的暹粒特征仍然是骨骼的时候,请注意这个空间。这款墨水在上个月宣布收购EndGames(提供端点安全性)时还没有干涸,因此它不是7.2声明的一部分。下一个明显的问题是机器学习支持何时会实现,而不是是否会实现。今天,你可以将无监督的学习融入到搜索中,这些搜索可以使用Kibana可视化部分进行管理,但还没有任何特定于暹粒的内容。
7.2版还扩展了应用程序搜索,以前仅可从弹性云获得,现在仅适用于现场部署。实际上,它允许您使用适用于SwiftType的功能在应用程序中添加搜索功能,该功能具有弹性获取的无代码功能,使您能够将搜索框和搜索索引添加到您的网站。
在云端,他们推出了一个基于Kubernetes的选项,允许那些想要构建自己的SaaS环境的冒险家。Kubernetes运算符利用以前发布的ElasticSearch和Kibana的Docker映像,修改Beats,从Kubernetes吊舱收集日志,并支持Helm图表。
7.2发行版中的另一个新增功能是增强APM功能,例如将.NET代理引入beta版,通过基于浏览器的真正用户监控(RUM)功能添加对单页应用程序的支持,以及一个新的Metrics Explorer,以便更容易地可视化关键基础设施指标。这是弹性对“可观察性”的拥抱的一部分,它应该统一与APM相关的不同元素,如日志、跟踪和度量。指导思想是,一种可伸缩的基于搜索的方法,其中的所有内容都是索引的,应该提供直观的方法来将与您所寻求的监视、检测或故障排除相关的事件拼凑在一起,例如安全性或应用程序性能。
不足为奇的是,AppDynamicCounter等采用基于日志的视图的方法过于简单化,因为它们仍然要求解决方案提供者和开发人员分别为每种语言设计代理的细节,然后开发逻辑来“缝合”与事务ID相关的所有相关实体或事件。我们还期望专门从事Siem的技术提供商能够以类似的理由反驳仅凭搜索索引无法生成的上下文和可跟踪性。
随着AWS在核心搜索引擎上寻找开源弹性的竞争,把它放在地图上,弹性的明显路径在使用的情况下,它的搜索解决方案已经吸引了最多的吸引力。Draw是一个开源的核心,为规模和灵活性构建了一个基于搜索的方法与在APM和SIEM空间中的现任者长期以来竞争的深度功能。在长期运行中,我们预计大量的交叉施肥不仅创造了更多的代理,而且简化了追踪过程,而在职者则借用搜索的通用性,使其解决方案更具可扩展性。