¿Miedo a perderse algo o miedo a perder registros?
Comencemos asegurando que no estamos aquí para generar ansiedad por el miedo de nadie a perderse algo. Dicho esto, queremos asegurarnos de que conozca todas las ventajas disponibles en Elastic Security, especialmente si tiene una versión anterior. Puede ser difícil encontrar tiempo para profundizar en cada nueva versión, ver qué nuevas funciones podrían estar disponibles o buscar formas de estirar su presupuesto para recopilar todos los registros que podría estar perdiendo.
Elastic® lanza nuevas versiones con bastante rapidez, impulsadas por nuevas funciones, solicitudes de mejora enviadas por los usuarios y, por supuesto, correcciones de errores ocasionales. Puede ser un desafío programar actualizaciones para cada nueva versión, particularmente cuando hablamos de una plataforma SIEM que debe funcionar las 24 horas del día, los 7 días de la semana, los 365 días del año, y mucho menos agregar implementaciones de Elastic Agent, Defend endpoint security y todos los registros y alertar a las tuberías que a menudo están involucradas.
En este blog, veremos mis cinco razones principales para actualizar Elastic Security y el valor que puede esperar del esfuerzo. Al final, hablaremos sobre algunas consideraciones de planificación de actualizaciones para minimizar el riesgo y maximizar el valor que puede obtener de una actualización.
5. Ahorre dinero, amplíe la visibilidad
¿Quién no quiere ser más rápido, más eficiente u más optimizado? Ha habido cientos de ejemplos de mejoras de rendimiento y eficiencia en las versiones de Elastic desde que me uní hace cinco años. Lo más importante en mi opinión es el lanzamiento de instantáneas con capacidad de búsqueda y nuestro nivel de almacenamiento congelado a partir de noviembre de 2020. Aunque actualmente estamos en Elastic 8.11, y esta capacidad en realidad es de 7.10, los beneficios son demasiado grandes para no incluirlos aquí.
En resumen, nuestro nivel congelado proporciona almacenamiento basado en objetos 100% activo y con capacidad de búsqueda que reduce drásticamente el costo del almacenamiento de datos a largo plazo. ¿De cuánto ahorro estamos hablando? En Elastic Cloud, nuestros nodos congelados son aproximadamente 33 veces más rentables que nuestros típicos nodos de almacenamiento en caliente, con un rendimiento a la par y, a menudo, más rápido que los niveles de almacenamiento más rápidos ofrecidos por otros proveedores de SIEM.
4. Responda más rápido
No siempre se trata de detección. Si está utilizando Elastic Security para detección y respuesta extendidas (XDR), la adición de múltiples acciones de respuesta constituye otra razón de peso para actualizar. Aislar hosts comprometidos, suspender procesos sospechosos, descargar archivos, cargar archivos y ejecutar comandos de forma remota son acciones disponibles en nuestra última consola de respuesta (8.11) para que la reparación de amenazas sea lo más rápida, efectiva y controlada posible. Descargue Elastic Defender para comenzar .
3. Gestión de la postura de seguridad en la nube y Kubernetes
Amo la nube y algunos días también amo Kubernetes. Otros días (normalmente cuando algo no funciona como creo que debería) los detesto. Esto sucede con mayor frecuencia cuando algo que me tomaría 2,5 segundos resolver en el mundo físico me toma dos días solucionarlo debido a alguna característica nueva de la consola en la nube o una actualización de Kubernetes a la que realmente no estaba prestando atención.
Desde una perspectiva de seguridad, es peor. Mantenerse al día con todas las configuraciones, opciones, identidades y roles en un entorno dinámico es un desafío. Elastic Security agregó Kubernetes (7.x) y Cloud Security Posture Management (CSPM) (AWS en 8.7 y GCP en 8.10, con Azure Beta en 8.11) para evaluar de forma rutinaria sus entornos con respecto a los puntos de referencia del Centro de Seguridad de Internet (CIS). La gestión elástica de la postura de seguridad es una excelente manera de monitorear una configuración de seguridad básica en estos entornos.
2. Investigaciones dinámicas
A menudo veo que uno de los impulsores más importantes para reducir métricas como MTTD/R es el conocimiento organizacional que los analistas acumulan con el tiempo. Dados los desafíos actuales para encontrar y retener analistas de seguridad experimentados, cualquier cosa que podamos hacer para ayudar a codificar ese conocimiento organizacional es algo bueno.
Las investigaciones dinámicas permiten a sus analistas experimentados configurar fácilmente reglas con cronogramas de investigación integrados y específicos de la organización para ayudar a los nuevos empleados y novatos a lograr la eficiencia de la manera más rápida y sencilla posible.
En el siguiente ejemplo, configuré una regla de almacenamiento CSPM que alerta sobre un depósito S3 abierto (1). Al hacer clic en el enlace Investigación dinámica (2) en la alerta, aparece una línea de tiempo con todos los registros y alertas relacionados con el depósito en cuestión. Esto revela todo lo que necesito para determinar el impacto de la configuración incorrecta, además de identificar al usuario que necesita capacitación correctiva sobre la configuración del depósito S3. Todo esto sucede con un solo clic, independientemente de la experiencia o conocimiento del entorno del analista.
1. Asistente de seguridad AI
Quizás hayas oído hablar de esto llamado inteligencia artificial generativa . ¿Necesitas buscarlo? Te daré un minuto mientras hago mi capacitación de recuperación en seguridad S3 (volveré).
Dejando a un lado todas las bromas de Skynet, ¡la IA generativa está en todas partes! Pero no es una solución milagrosa para acabar con los hombres lobo de seguridad con los que nos enfrentamos todos los días. He descubierto que es excepcionalmente útil para hacer todo tipo de cosas menores y repetitivas rápidamente, así como para recopilar contexto sobre alertas y amenazas.
El Asistente de IA de Elastic brinda asistencia de muchas maneras y cada vez encontramos más. Comenzó brindando sugerencias para usar Elastic Security, escribiendo reglas de detección a partir de consultas en lenguaje natural y obteniendo sugerencias para ajustes y configuraciones. Los analistas experimentados pueden usarlo para reforzar la información contextual en los casos, mientras que los analistas novatos lo usan para ayudar a evaluar el impacto o correlacionar alertas entre comportamientos complejos.
¡Esta característica se introdujo en 8.10 y es posiblemente la razón más poderosa para actualizar su solución Elastic Security! Para obtener más información, consulte el blog del Asistente de Elastic AI .
¡Prima! Vacaciones de avance tecnológico: ES|QL
Nadie quiere aprender un nuevo lenguaje de consulta si puede evitarlo, y Elasticsearch Query Language (ES|QL 8.11) facilita a cualquier persona con experiencia en SQL o SPL la transición rápida a Elastic Security. ES|QL aporta un lenguaje de consulta canalizado familiar a Elastic Security, combinando todos los beneficios de velocidad del esquema en escritura con las capacidades de un motor de consulta dinámico de esquema en lectura.
ES|QL hace que sea más fácil que nunca escribir reglas de detección complejas al mismo tiempo que mejora y condensa los flujos de trabajo de investigación con la capacidad de crear visualizaciones, cálculos y agregaciones directamente desde una pantalla. Vea todas las capacidades de ES|QL .
Consideraciones de actualización
Si bien los beneficios que hemos cubierto son solo la punta del iceberg, todos sabemos que lanzarse a la última y mejor versión puede ser un poco arriesgado. Por mucho que intentemos minimizar los errores con pruebas exhaustivas de control de calidad, es imposible probar cada una de las infinitas permutaciones de combinaciones de nube, contenedor, sistema operativo y software que se utilizan hoy en día.
Para ser franco, habrá errores. Si bien siempre me ha impresionado la rapidez con la que Elastic se mueve para abordar los problemas con las nuevas versiones, es posible que eso no le ayude tan pronto como nos gustaría. Aquí hay cuatro formas de reducir el riesgo de cualquier actualización:
¡No lo olvides! Las actualizaciones se pueden realizar en vivo, con poco o ningún impacto en los componentes configurados para alta disponibilidad (normalmente todo menos los niveles fríos y congelados).
Aprovecha todo el potencial de tu entorno
El equipo de Elastic Security comprende que actualizar a una nueva versión puede resultar intimidante, por lo que contamos con muchos recursos para ayudarle a navegar el proceso. Además del equipo de soporte de Elastic , hay una comunidad animada de usuarios, expertos, PM y desarrolladores de Elastic disponibles para todos en los foros de Elastic Slack y Discuss .
¿Listo para actualizar? Obtenga más información sobre cómo (y por qué) actualizar sus implementaciones Elastic .