¿Estás visitando desde ?
Ingresá a Linware ⯈
Continuar en Linware Argentina ⯈
×
¿Qué estás buscando?
BUSCAR!
BLOG
Novedades de Elastic Security 8.2: Optimice los flujos de trabajo de los analistas con contexto
Publicada el 09/05/2022

Elastic Security 8.2 impulsa la eficiencia y la eficacia de los equipos de seguridad, brindando a los analistas información invaluable y una visibilidad profunda de los ataques dirigidos a su organización. El lanzamiento ofrece contextualización de alertas enriquecidas, inspección de host de osquery directamente desde una alerta, nuevas guías de investigación y la disponibilidad general de inteligencia de amenazas.

Optimice los flujos de trabajo de los analistas con contexto y experiencia

Interfaz de usuario seleccionada para analizar la actividad del usuario

Elastic Security 8.2 brinda una nueva visibilidad de la actividad del usuario, lo que ayuda a los profesionales a abordar las amenazas internas, la apropiación de cuentas, el abuso de privilegios y los vectores relacionados. La experiencia es consistente con los flujos de trabajo de analistas existentes para explorar datos de redes y hosts. 

Users View admite el monitoreo de seguridad al presentar el contexto de usuario de todo el entorno en visualizaciones y tablas seleccionadas. Muestra contexto, como usuarios únicos totales y autenticaciones exitosas/fallidas, y brinda acceso rápido a eventos, anomalías y alertas de usuarios.

La página Detalles del usuario proporciona una vista integral de un usuario individual, incluidos los atributos clave, la actividad observada y las anomalías y alertas relacionadas. Un control flotante relacionado arma a los analistas en el flujo de una cacería o investigación con el contexto de usuario relevante, incluidos los detalles de la cuenta y la actividad anómala.

Examine las ejecuciones de procesos con la Vista de sesión

Elastic Security 8.2 agiliza los flujos de trabajo de clasificación e investigación con Session View, una nueva interfaz para examinar las ejecuciones de procesos en sistemas Linux que proporciona una vista forense de las cargas de trabajo del sistema. Ayuda a los analistas a comprender el comportamiento del usuario y del servicio, reconstruyendo sesiones como si estuvieran mirando la terminal de un adversario que intenta sudo y curl para llegar a paydirt o un script configurado para abrir una conexión de socket a un servidor C2C. Un analista puede ver, por ejemplo, si se ha iniciado un shell inverso desde bash o si un servidor web comprometido está filtrando recursos confidenciales a través de un socket de red recién abierto. La selección de un evento muestra más detalles, incluido el contexto de procesos, hosts y alertas relacionados.

El lanzamiento también presenta la recopilación de eventos de host de Linux a través de eBPF, la magia detrás de Session View, que brinda una visibilidad más rica de la actividad del kernel de la infraestructura y los puntos finales de Linux de lo que era posible anteriormente. Para versiones anteriores del kernel, la solución es compatible con versiones anteriores.

Acelere la selección de alertas con un contexto más rico

Elastic Security 8.2 permite a los analistas que evalúan una alerta determinar rápidamente cuántas alertas dentro de un período de tiempo determinado comparten un atributo específico, como un usuario o host afectado. Saber cuántas alertas están asociadas con el mismo host, usuario, dirección IP, lo que sea, les ayuda a identificar con precisión las alertas que merecen una investigación y detectar oportunidades para reducir los falsos positivos mediante el perfeccionamiento de una regla de detección.

Acelerar la clasificación con información sobre los atributos de las alertas también beneficia a los procesos SecOps posteriores, lo que permite a los respondedores centrarse en las alertas de alta prioridad y reducir los tiempos de permanencia del adversario.

Desde este mismo control flotante, los analistas ahora pueden acceder rápidamente a los enlaces de todos los casos a los que se ha vinculado una alerta, lo que acelera la clasificación y la investigación.

Guías de investigación con asesoramiento de expertos

Elastic Security 8.2 ayuda a los equipos de seguridad a clasificar, investigar y responder a las alertas con un nuevo conjunto de guías de investigación para un gran conjunto de reglas de detección preconstruidas. Los investigadores de amenazas de Elastic ayudan a los profesionales a decidir cómo abordar una alerta al desarrollar esta experiencia específica de reglas y mostrarla junto con las alertas asociadas. Las guías cubren por qué se disparó una alerta, cómo determinar si representa una amenaza real o simplemente un falso positivo, qué pasos considerar tomar para la investigación y la reparación, y más.

Las guías de investigación agregadas en esta versión principalmente refuerzan las reglas para detectar amenazas contra los sistemas Windows. Con el asesoramiento de expertos para defender estos sistemas ubicuos, elevan el nivel de las contribuciones de los analistas jóvenes y reducen la carga cognitiva de los profesionales experimentados.

Disponibilidad general de inteligencia de amenazas

Elastic Security continúa facilitando la puesta en funcionamiento de la inteligencia de amenazas, una herramienta crítica para mejorar la cobertura de detección, para ajustar los intervalos de investigación y respuesta y permitir la búsqueda de amenazas.

La solución ofrece integraciones llave en mano con siete fuentes de inteligencia de amenazas, incluidas ofertas de código abierto como MISP y AbuseCH y plataformas comerciales como Anomali y Recorded Future. Con la solución, las organizaciones pueden aprovechar la inteligencia de amenazas para el enriquecimiento de eventos, la detección automatizada, la contextualización de alertas y más. Con el lanzamiento de hoy, estas capacidades entran en disponibilidad general y disfrutan de soporte completo de producción comercial.

 

Detenga las amenazas en el punto final

Prevención con listas de bloqueo personalizadas

Los administradores ahora pueden configurar Elastic Agent para proteger los sistemas de alto riesgo al bloquear la ejecución de aplicaciones o códigos específicos que nunca deberían ejecutarse. Esta capacidad es especialmente útil para proteger sistemas con actividad altamente predecible, como microservicios en la nube y terminales de puntos de venta físicos, y también puede ayudar a garantizar que un usuario final no ejecute accidentalmente archivos maliciosos conocidos. Las organizaciones con acceso a inteligencia altamente específica sobre las amenazas que enfrentan organizaciones como la suya pueden considerar definir listas de bloqueo para incluir IoC de malware particularmente preocupantes. 

Conjunto ampliado de protecciones de comportamiento de punto final

Elastic Security 8.2 amplía aún más el poder de la protección contra el comportamiento malicioso en Elastic Agent, que combina el análisis del comportamiento posterior a la ejecución con acciones de respuesta dirigidas para detener a los adversarios sofisticados. Estas nuevas prevenciones mejoran la protección de los sistemas Windows, macOS y Linux y abordan un amplio conjunto de tácticas MITRE ATT&CK®, en particular el acceso inicial, la escalada de privilegios y la evasión de defensa. Estas nuevas protecciones se suman a las capacidades específicas para detener las técnicas de ataque avanzadas que se presentan en nuestro anuncio 8.1 .

Inspección de osquería directamente desde una Alerta

Elastic Security 8.2 arma a los analistas para inspeccionar hosts directamente desde una alerta, poniendo el contexto del host al alcance inmediato. Los profesionales pueden crear una consulta ad-hoc, recopilar datos de actividad y estado del host y preparar los siguientes pasos, sin desviarse de sus flujos de trabajo típicos. Esta capacidad ayuda a los analistas a investigar y responder a actividades sospechosas de manera rápida e informada. La inspección remota del host aprovecha la integración de Osquery Manager para Elastic Agent, disponible de forma gratuita y abierta en los sistemas Windows, macOS y Linux.

Detenga las amenazas a escala con integraciones y protecciones llave en mano

Integraciones de datos preconstruidas

Elastic Security 8.2 agiliza la recopilación y la preparación con integraciones de datos mejoradas , además de paneles para la integración de Network Packet Capture .

El lanzamiento mejora nuestro soporte para tecnologías de seguridad de punto final de terceros . Una nueva integración para Microsoft 365 Defender permite a las organizaciones recopilar eventos de seguridad con Elastic Agent, lo que brinda una alternativa a Filebeat. El lanzamiento también permite a las organizaciones recopilar alertas, eventos de punto final y visitas a la lista de seguimiento de VMware Carbon Black Cloud, basándose en nuestro soporte para VMware Carbon Black EDR .

Con los registros de Cisco Secure Email, un producto de puerta de enlace de seguridad de correo electrónico diseñado para detectar y bloquear una amplia variedad de amenazas transmitidas por correo electrónico, las organizaciones pueden mejorar la protección contra el malware, el spam y los intentos de phishing. El lanzamiento también agrega soporte para Cisco Identity Services Engine (ISE), una plataforma de políticas de control de identidad y acceso para puntos finales, y actualiza nuestra integración para la ingesta de registros de Cisco Meraki MX, mejorando la visibilidad en toda la capa de red.

Reglas de detección listas para usar

Las organizaciones ahora pueden detectar un conjunto más amplio de técnicas de ataque dirigidas a cuentas de usuario con nuevas reglas de detección predefinidas. Varias de las nuevas reglas ayudan a evitar que los adversarios hagan un mal uso de las cuentas y los privilegios de los usuarios al detectar prácticas de configuración inseguras de Windows AD y actividades sospechosas relacionadas. Eventos recientes de interés periodístico indican que este tipo de reglas son esenciales para detectar actividad disruptiva antes de que se convierta en un titular.

Las nuevas reglas de detección ayudan a garantizar que incluso los adversarios que aprovechan métodos de evasión sofisticados no puedan crear o apoderarse de una cuenta de usuario y aumentar los privilegios sin pasar desapercibidos. Otro nuevo conjunto de detecciones ayuda a las organizaciones a detectar técnicas de evasión de shell. Estas nuevas reglas de detección se asignan al marco MITRE ATT&CK® y se desarrollan en nuestro repositorio público de detección .

Los clientes existentes de Elastic Cloud pueden acceder a muchas de estas funciones directamente desde la consola de Elastic Cloud. Si es nuevo en Elastic Cloud, eche un vistazo a nuestras guías de inicio rápido (videos de capacitación breves para que pueda comenzar rápidamente) o nuestros cursos gratuitos de capacitación básica . Siempre puedes comenzar con una prueba gratuita de 14 días de Elastic Cloud . O descarga gratis la versión autogestionada del Elastic Stack.

Lea sobre otros aspectos destacados de Elastic Stack en la publicación del anuncio de Elastic 8.2.

El lanzamiento y el momento de cualquier característica o funcionalidad descrita en esta publicación quedan a discreción exclusiva de Elastic. Cualquier característica o funcionalidad que no esté disponible actualmente puede no entregarse a tiempo o en absoluto.

Ir al Blog