Elastic Security vereinfacht die Anpassung von vorgefertigten SIEM-Erkennungsregeln

Elastic Security hat die Anpassung und Aktualisierung vorgefertigter Erkennungsregeln vereinfacht, wodurch die Arbeitsabläufe der Erkennungsentwicklung optimiert und eine größere Anwendungsfall-Abdeckung ermöglicht werden. Elastic Security Labs bietet über 1.300 von Experten erstellte Erkennungsregeln, die den Taktiken, Techniken und Verfahren (TTPs) des MITRE ATT&CK-Frameworks entsprechen. Diese Regeln werden aktiv gepflegt und alle zwei Wochen aktualisiert, um mit den sich entwickelnden Bedrohungen Schritt zu halten. Sicherheitsteams können diese vorgefertigten Erkennungen an ihre spezifischen Bedürfnisse anpassen. Mit den neuesten Versionen können Sicherheitsingenieure Elastic- bereitgestellte Regelaktualisierungen anwenden, ohne benutzerdefinierte Änderungen zu verlieren. Die neuen Funktionen ermöglichen die Bearbeitung vorgefertigter Regeln einzeln oder in großen Mengen sowie den Vergleich eingehender Änderungen mit der aktuellen Version der Regel. Regelaktualisierungen reduzieren Fehlalarme und erhöhen die Genauigkeit der Warnungen. Durch die verbesserte Erfahrung bei der Regelaktualisierung können sich Sicherheitsingenieure auf die Aktualisierung der wichtigsten Regeln konzentrieren. Die neuen Verbesserungen reduzieren und vereinfachen die Wartung von Erkennungen erheblich und ermöglichen es Sicherheitsteams, die Vorteile vorgefertigter Regeln zu nutzen, die für ihre Umgebung und Anwendungsfälle optimiert sind. Diese Funktion ist in den Elastic Security Versionen 8.18 und 9.0 über die Elastic Security Enterprise-Abonnementstufe für selbstverwaltete und Cloud-Bereitstellungen sowie die Security Analytics Complete-Stufe auf Elastic Cloud Serverless allgemein verfügbar. Die zweiwöchentlichen Regel-Releases bieten neue und aktualisierte Regeln und Zeitpläne, die direkt in Elastic Security verfügbar sind. Allein im Jahr 2024 wurden über 2.420 Aktualisierungen für die Regelbibliothek herausgegeben.