Компания Elastic представила значительное усовершенствование своего решения по безопасности информации и управлению событиями, которое является частью предложения Elastic Security. Новые возможности, представленные на недавней конференции RSA, являются значительным шагом в развитии центров операций по безопасности. Традиционные системы управления информацией безопасности и событиями (SIEM) были бесценными для сбора и анализа журналов безопасности и событий для выявления угроз. Однако они сильно полагались на ручные процессы, требуя значительного вмешательства человека для таких задач, как оповещение, создание панелей инструментов и поиск угроз. Эта модель не только требовательна к ресурсам, но также склонна к неэффективности при увеличении объема данных. В 2023 году Elastic добавила платформу Elastic AI Assistant for Security к своему предложению Elastic Security SIEM. Этот советник на базе AI помогает аналитикам SOC с созданием правил, подведением итогов оповещений и рекомендациями по рабочим процессам и интеграции, что является значительным первым шагом к интеграции AI в повседневные операции по безопасности.
На этом фоне Elastic представила новую функцию Attack Discovery, включающую патентованную технологию, основанную на платформе Elastic Search AI. Этот новый инструмент революционизирует обработку оповещений, приоритизируя реальные атаки над простыми оповещениями. Осуществляя один щелчок, Attack Discovery проходит через сотни оповещений, усредняя их до нескольких, действительно важных, и представляет результаты через интуитивный интерфейс. Attack Discovery использует большие языковые модели для анализа и приоритизации оповещений о безопасности. Он фильтрует шум, фокусируясь на наиболее критических оповещениях на основе различных параметров, таких как серьезность, критичность актива и оценки рисков. Эта приоритизация помогает SOC сосредоточить свои ресурсы на наиболее значимых угрозах. Новая возможность использует платформу Elastic Search AI, объединяющую мощные возможности поиска с созданием с расширенным доступом к данным. Это позволяет Attack Discovery получить доступ к обширному контексту данных о безопасности, обеспечивая точность и актуальность приоритизации оповещений.
Attack Discovery позволяет командам SOC классифицировать сотни оповещений до нескольких важных с одним нажатием кнопки. Эта функциональность значительно сокращает время и усилия, обычно требуемые для выявления потенциальных угроз среди огромного объема данных. Результаты представлены в удобном для пользователя интерфейсе, который позволяет командам безопасности быстро понять характер атак, облегчая оперативное и обоснованное принятие решений о последующих действиях.
Обновления Elastic для своего решения SIEM отражают явную индустриальную тенденцию к более глубокой интеграции AI в инструменты кибербезопасности, что отражает широкое движение отрасли к автоматизации и передовым аналитическим инструментам. Его помощник AI, представленный в прошлом году, и только что представленная функция Attack Discovery, основанная на собственной платформе Elastic Search AI, являются стратегическим поворотом от традиционных, трудоемких процессов SIEM к модели, где аналитика, основанная на AI, играет центральную роль. Этот переход расширяет возможности аналитиков по безопасности и решает проблемы масштабируемости, присущие традиционным SIEM.
Подход Elastic – прямое внедрение машинного обучения и создания с расширенным доступом в его систему SIEM – позиционирует компанию далеко впереди конкурентов, таких как Splunk. Способность его функции Attack Discovery просеять и приоритизировать действенную информацию из потока оповещений с минимальным вмешательством человека является переломным моментом. Он повышает операционную эффективность и сокращает время реагирования, что является критическим фактором в смягчении последствий нарушений безопасности.
Усовершенствования в Elastic Security для своего решения SIEM не просто являются пошаговыми улучшениями, а скорее широким расширением возможностей SIEM. Для организаций внедрение таких передовых инструментов приведет к улучшению позиций в области безопасности и более эффективному использованию ресурсов. Для широкой кибербезопасной отрасли это устанавливает новые стандарты в интеграции AI в операции по безопасности, вынуждая конкурентов также инновировать или рисковать устареванием.