Elastic Security 8.4 mit erweiterbaren SOC-Funktionen
SOAR-Lösung wächst mit ihren Aufgaben
Elastic, vorrangig bekannt als das Softwarehaus hinter Elasticsearch, führt mit Elastic Security 8.4 SOAR-Funktionalität (Security Orchestration, Automation, and Response) ein. Elastic Security 8.4 soll den Security-Analysten im SOC (Security Operation Center) Werkzeuge an die Hand geben, um Arbeitsabläufe zu rationalisieren und so die Bedrohungssuche und -abwehr zu beschleunigen. Neben Elastics nativen Reaktionsmöglichkeiten mit konfigurierbaren Alarmen und Aktionen gibt es bidirektionale Integrationen mit den SOAR-Lösungen von ServiceNow, Swimlane und Tines, zudem Partnerschaften mit D3 und Torq.
Die Grundlage für Elastics SOAR bildet laut Herstellerangaben der hauseigene Agent. Diese Technik, die in der Elastic-Security-Lösung enthalten ist, ermögliche die Nutzung Hunderter Datenquellen mit einem einzigen Mausklick sowie die Verwaltung der Elastic-Software zum Schutz von Endpunkten und der Cloud. Dank Elastic Agent könne ein Unternehmen seine SOAR-Reise beginnen, ohne zusätzliche Technik einkaufen zu müssen.
Wenn die Anwendungsfälle für Abhilfemaßnahmen zunehmen und Teams erweiterte Orchestrierungssteuerungen benötigen, können Anwender laut Elastic anpassbare Orchestrierungsfunktionen innerhalb von Elastic Security oder die Ein-Klick-Integrationen mit anderen SOAR-Anbietern nutzen. Der Ansatz wachse mit den Anforderungen eines Unternehmens und vermeide einen Vendor Lock-in (unerwünschte Anbieterbindung). Ein SOC-Team könne entweder Elastic Security verwenden, die Software der SOAR-Partner nutzen, um die Orchestrierungsfunktionen zu erweitern, oder die Reaktion auf Vorfälle vollständig anpassen.
„Unsere offene Vision für SOAR spiegelt unsere Herangehensweise an viele andere Technologien wider, wie Elastic Security for Endpoint, das Endpunkt-Prävention und -Erkennung bietet und Extended Detection and Response (XDR) ermöglicht“, schrieb Mike Nichols, Vice President of Product Management Security bei Elastic, in einem Blog-Post. „Benutzer verdienen eine Auswahl, daher bieten wir auch umfangreiche Integrationen mit anderen Endpoint-Anbietern (gemeint ist: Endpoint-Security-Anbietern, d.Red.) wie CrowdStrike, Microsoft Defender und SentinelOne.“ Dabei zögere Elastic auch nicht, Technologien mit überlappenden Funktionen zu integrieren.
Viele Unternehmen fangen laut Nichols gerade erst an, sich mit SOAR zu beschäftigen. „Unsere nativen SOAR-Funktionen helfen Organisationen jeder Art, ihr Incident-Management zu verbessern, und unsere eng integrierten SOAR-Partner helfen ihnen, noch mehr zu erreichen“, so Nichols weiter.
Ein Workflow für die Planung, Erstellung und Ausführung eines Reaktionsplans ist ein Kernbaustein von SOAR. Elastic Security 8.4 führt dafür eine Terminal-ähnliche Schnittstelle ein, die es den Anwendern ermöglichen soll, Reaktionsmaßnahmen schnell anzuzeigen und aufzurufen, um die Reaktion zu beschleunigen. Das Interface sei nur einen Klick von wichtigen Analysten-Workflows entfernt und minimier4 die mittlere Reaktionszeit (MTTR).
Die Host-Isolierung – eine bereits vorhandene Aktion – ermögliche es Analysten, die Netzwerkverbindung zu infizierten Systemen schnell zu deaktivieren, um eine Ausbreitung zu verhindern, während das SOC-Team weiterhin die Möglichkeit habe, die Triage und Untersuchungen durchzuführen. Eine neue Audit-Schnittstelle biete eine vollständige Aufzeichnung der Vorfallsreaktion.
Die neuen Funktionen sind laut Hersteller mit Elastic Security 8.4 allgemein verfügbar und im Enterprise-Abonnement für selbstverwaltete und Cloud-Bereitstellungen enthalten. Kommende Versionen sollen die inbegriffenen Reaktionsmaßnahmen erweitern.
Lesen Sie mehr zum Thema
