Elastic Security 第一個發展為 AI 驅動的安全分析解決方案
Elastic Security 在 SIEM 3.0 革命中扮演了重要角色,提供了「唯一」的生成式人工智能安全分析解決方案。
這不僅能讓每位核心分析師的工作流程變得更快速,還能優化企業現有的團隊運作,幫助新成員更快、更準確、更有效率地上手工作。
引入 AI 驅動的安全分析 – 快速發展中的 Elastic Security
Elastic Security 是第一個也是唯一的 AI 驅動安全分析解決方案,專門針對現代安全團隊所面臨的挑戰。
這個解決方案建立在 Elasticsearch AI 平台上,並引入了檢索增強生成 (RAG) 技術。
RAG 是確保大型語言模型 (LLM) 能夠獲取回答特定問題所需的所有相關上下文的最佳方法,從而提供量身定制的個性化回應。
如果缺乏正確的上下文,或者沒有高效、快速且強大的搜索和檢索方法,那麼 LLM 的表現就只能依賴於它所訓練的公共數據。
而 RAG 則消除了不斷重新訓練 LLM 的需求,因為重新訓練 LLM 是一項既耗時又昂貴的任務,特別是在安全分析平台中,數據每分鐘都在變化的情況下。
我們的解決方案基於三個核心原則,這些原則讓 Elastic Security 在市場上獨樹一幟。
Elastic Security 的三大原則
原則 1:分布式數據網格架構
問題:分析所有數據
在檢測工程師「製作內容」、分析師「分類警報」或事件響應人員「修復事件」之前,安全團隊需要了解他們的環境。
這就是為什麼 CIS Top 18 幾十年來始終將可見性放在首位的原因:你無法保護你看不到的東西。
然而,隨著數據量呈指數增長,尤其是數據向雲端遷移,對全面可見性的需求面臨挑戰。
安全團隊不得不根據「預算」和「技術限制」做出決策,而不是根據所需保護的數據價值。
許多人採用了數據湖(data lake)的方法,迅速將信息從主動系統轉移到成本較低的數據存儲中,然後在需要時進行調用。
雖然這樣的數據湖可以解決存儲成本問題,但卻無法應對快速獲取信息以防止對組織造成損害的運營挑戰。
以 Log4j 攻擊事件為例,許多公司忙於確認自己是否受到影響。
對於那些數據被凍結存儲的團隊來說,他們不得不猜測和檢查時間框架,然後「解凍」部分數據進行搜索,重複這一繁瑣過程。
只有在解凍並檢查所有存儲的數據後,團隊才能確定實際情況,這無疑需要大量時間。
因此,數據湖不僅要經濟實惠,還必須具備可搜索性。
現代 SOC 是分布式的
數據具有引力。
在分布式網絡中移動數據的成本很高,特別是在「雲」或「雲服務」提供商的區域中移動數據時,需要支付額外的數據傳輸服務 (DTS)費用。
此外,創建單一信息副本的成本也很高,這需要大量的硬體資源和工程師的投入,還要考慮到某些地區因數據隱私法規而無法實現的事實。
Elastic 允許您將數據保存在生成或收集數據的位置附近。
我們的分布式數據網格架構,讓用戶可以在任何主要雲服務提供商和/或本地系統中保留數據。
然後可以指定其中一個系統作為執行安全運營的主 SIEM。
對分析師而言,這種解決方案就像一個集中式 SIEM,簡化了跨連接系統的搜索。
安全分析師無需離開主系統,即可在任意數量的分布式安全集群中運行檢測、機器學習模型、威脅獵捕、警報分流、事件響應或其他用例。
快速搜索被凍結的數據
Elastic 的分布式數據網格架構讓企業能夠負擔得起多年數據的存儲,接下來的挑戰就是如何快速訪問這些訊息。
在這方面,Elastic 也處於市場的領先地位,Elastic Security 讓那些曾經不可能的事情變得簡單。
以 Randstad Netherlands 和 Texas A&M 等公司的毫秒級搜索能力為例,總是讓新用戶對其處理速度和能力感到驚訝。
Elastic 使用一種稱為「可搜索快照」的專有功能,在數秒內即可搜索 S3 等被凍結的數據,而無需重新處理所有信息。
這使得安全分析變得既快速又經濟,甚至可以分析長達數月甚至數年的數據。
通過 Elastic 的分布式數據網格來運營您的安全團隊,而不是依賴那些反應遲鈍、操作複雜的數據湖。
這樣,下次有人問您「是不是?」時,您就能毫不猶豫地給出肯定的答覆。
原則 2:我們公開透明的安全方法
Elastic Security 堅持公開性和透明度,這對企業評估和降低網絡安全風險至關重要。
當您選擇一項技術時,實際上是在信任該技術背後的組織,而這種信任不應該依賴於保密。
我們曾經指出:「開放式安全意指安全供應商在開放環境中運作,分享代碼、檢測規則和工件,以進一步了解如何真正保護系統免受入侵和利用。這是一項共同努力,旨在改進安全軟體,讓所有人都能從中受益。」
網絡安全不應僅僅是那些擁有足夠預算企業的專利。
任何人都有可能成為網絡攻擊的受害者,因此,每個人都應享有企業級的網絡安全。
普及安全保護是遏制日益嚴重的攻擊浪潮的關鍵。
開放數據模式是 Elastic Security 的核心之一。
無論您選擇我們標準化的開源模式——Elastic Common Schema (ECS),還是其他集成模式,您都可以自由使用您的數據。
ECS 實現了「一次寫入,隨處運行」的檢測規則,使團隊能夠靈活且輕鬆地添加新的數據源,而無需改變檢測邏輯。
ECS 不斷演進,以支持新型安全數據,如漏洞、威脅情報和電子郵件日誌,並已被眾多廠商和組織廣泛採用。
為了進一步推動發展,我們最近向 OTel 語義約定貢獻了 ECS。
Elastic 將繼續支持新興與傳統的使用模式,以確保採用這些模式的組織能充分利用 Elastic Security 的強大分析功能。
例如,如果您在 Amazon Security Lake 中存儲與 OCSF 對應的數據,我們將提供預構建的 OCSF 集成,將其轉換為 ECS。
同樣,如果您在通用事件格式 (CEF) 上投入了大量資金,我們也提供將 CEF 轉換為 ECS 的集成。
我們的成立正是基於這種開放的理念,並將持續堅持這一理念。
原則 3:一體化的安全運營方法
Elastic Security 的唯一使命是透過普及企業級的安全保護,確保全球數據不受攻擊威脅。
我們的目標是在現有的安全生態系統中提升端到端的工作流程,並為那些無法負擔或難以接觸多種安全工具的用戶提供所需的功能。
我們專注於構建、交付和銷售 Elastic Security,這是一款集成了多種可選和內建功能的解決方案。
典型的客戶會通過以下方式與我們共同成長:
- 從分析開始:用我們的 AI 驅動型安全分析解決方案取代傳統的 SIEM,快速部署經過驗證的 SOC 工作流程,並為安全團隊的新流程提供支持。
- 擴展到延展保護:通過將來自 CrowdStrike、SentinelOne、Microsoft Defender、Wiz 等的原始事件添加到 Elastic 中,立即獲得擴展檢測和響應的能力。
- 增強和/或替換為原生保護:使用 Elastic 的原生保護功能來增強或替換舊有的單點解決方案。
Elastic – 一體化的安全分析方法
這篇文章介紹了 Elastic Security 的建構原則,以及 Elastic 如何邁向生成式人工智能時代。
我們的解決方案致力於最大程度提升安全團隊的工作效率,我們非常高興能推出這樣一款突破性的安全解決方案!
本文翻譯自:Elastic Security evolves into the first and only AI-driven security analytics solution
想要了解更多 Elastic Security 資訊,歡迎加入歐立威 Line 好友!
