אלסטיק נכנסת לשוק הSIEM ומציעה פתרון כחלק מגרסת הבסיס

עמי רוחקס דומבה |

מייק פאקט, דירקטור מוצר SIEM באלסטיק - באדיבות אלסטיק

חברת החיפוש אלסטיק שמאחורי Elasticsearch ו-Elastic Stack, הודיעה על הרחבת תמיכתה בתחום הסקיוריטי והשקת Elastic SIEM. זהו צעד משמעותי בבניית החזון של אלסטיק לפתרון Security Information and Event Management המבוסס על השימוש של אנשי סקיוריטי ב Elastic Stack. הגרסה הראשונה מציעה מגוון אינטגרציות ייעודיות לאיסוף מידע ממגוון מקורות הקשורים בניהול אירועי אבטחת מידע. כמו כן למשתמשים מוצע ממשק ייעודי ב Kibana המאפשר לאנשי אבטחת מידע יכולות תחקור ואנליזה של אירועים בצורה יעילה ביותר. 

 Elastic SIEM נמצא בגרסת בטא ומוצע ללא תשלום כחלק מגרסת הבסיס של 7.2 Elastic Stack שהושקה שבוע שעבר. הגרסה החדשה זמינה ב Elasticsearch Service on Elastic Cloud או בהורדה ישירה כאן.

אחד היתרונות של אלסטיק בשוק הSIEM הוא היכולת לתייג פיסות מידע בשלב הכנסת המידע לבסיס הנתונים (schema on write). היות ואחת ממטרות הSIEM היא לחפש הקשרים במידע שנצבר מהלוגים וממידע המגיע מהתקני הגנה במערך ההגנה של הארגון, שיטה זו מאפשרת לבצע שאילתות מורכבות. זאת, מכיוון שהמידע כבר עבר הבנייה בתהליך הכתיבה לבסיס הנתונים. בצורה כזו, ניתן בנוסף לשאילתות מורכבות לאפשר גם השלמה אוטומטית של שאלות (בהתאם למידע הקיים בבסיס הנתונים) וגם להריץ אלגוריתמי לימוד מכונה לחיפוש הקשרים. 
 
לאלסטיק יש גם יכולת להתקשר בצורה מובנית למוצרי הגנה מובילים בשוק ולקבל מהם לוגים. כמו גם, לחברה יש קליינטים שניתן להתקין על עמדות ושרתים במטרה לנטר תעבורת רשת באופן עצמאי. בנוסף, החברה מספקת API להתחב למוצרי הגנה באופן עצמאי לאלו שאין מחבר מובנה. "לקוחות קטנים או בינוניים שאינם מחזיקים כיום מערכת SIEM יכולים להנות ממערכת מובנית בגרסה הבסיסית של אלסטיק", מסביר מייק פאקט, דירקטור מוצר SIEM באלסטיק בראיון לאתר ישראל דיפנס. "ארגונים גדולים שיש להם מערכת SIEM, יוכלו להנות ממערכת נוספת שתעזור להם לנהל נפחי מידע גדולים מאד הדרושים לעולם הסייבר." 

בשנים האחרונות, השימוש ב Elastic Stack הפך להיות הבחירה הפופולרית בקרב אנשי המקצוע בתחום הסקיוריטי להגנה על מערכות ודאטה מפני איומי סייבר. חברות כמו Bell Canada ו- Slack משתמשות ב  Elastic Stack לסקיוריטי אנליטיקס, וכן Elasticsearch נמצא בלב מערכת threat hunting של Cisco Talos OmniSOC, מרכז שיתוף פעולה של סייבר סקיוריטי שהוקם ע"י Big Ten Academic Alliance כמו גם  Oak Ridge National Laboratory, בחרו ב Elastic Stack כליבה של פתרונות ה SIEM שלהם. בנוסף, פרויקטים של קוד פתוח כמו RockNSM, HELK ואחרים משתמשים ב Elastic Stack לתמוך במפעילי מערכות האבטחה שלהם.

לאור האימוץ הרחב של Elastic Stack בתחום הסקיוריטי, הושקע הרבה בבניית חווית משתמש ייעודית על מנת להקל על המשתמשים - בדומה לשיפורים שעשינו במוצרי אלסטיק לתמוך בפתרונות logging או Application Performance Monitoring. החל מאיסוף מידע הקשור באבטחה ואירועים שונים, הרחבנו באופן משמעותי את תמיכת מוצרי אלסטיק, Filebeat, Winlogbeat ו- Auditbeat, באיסוף מידע משרתים, אפליקציות, ומערכות הפעלה. כמו כן, הוספנו יכולות איסוף אירועים באמצעות הוספת אינטגרציה עם מערכות המשמשות לניטור תעבורת רשת ועם Intrusion Detection Systems כמו Bro/Zeek ו- Suricata. וכן, הוספנו בגרסה 7.2 גם תמיכה בפיירוול של Cisco ASA ו- Palo Alto.

ב18 החודשים האחרונים, הושקעו בשיתוף הקהילה והשותפים, משאבים לפיתוח (Elastic Common Schema (ECS - מיפוי שדות אשר מקל על הנורמליצזיה של הדאטה ומאפשר קורלאציה בין מקורות, חיפוש ואנליזה. "יכולות ה SIEM החדשות של אלסטיק מעשירות את היכולת שלנו לייעל את נראות מערך ההגנה שלנו ולבנות פתרונות סקיוריטי ודאטה מדורגים מקצה לקצה, עבור לקוחות באמצעות Elastic Stack", אמר גרג בקר, סגן נשיא ומנהל דיגיטל סייבר ב Optiv, ספקית פתרונות סקיוריטי ושותף של אלסטיק. "אנחנו מצפים לתמוך ביחד בדרישה של לקוחות לשלב יכולות אלו וממשיכים את את השותפות היציבה וארוכת הטווח עם אלסטיק".

img
פרשנות | כוח צבאי משמעותי של נאט״ו יכול להקטין הסתברות למלחמה גרעינית באירופה
דעה | אופציה צבאית ישראלית תוכל לרסן את איראן 
קבוצת SQLink רוכשת את ZIGIT הישראלית
קבוצת SQLink רוכשת את ZIGIT הישראלית
ad