"Elasticsearch 8.18 introduit une nouvelle fonctionnalité de jointure de type SQL appelée JOIN DE RECHERCHE, qui permet la corrélation et l'enrichissement de données avec des jeux de données de recherche facilement mis à jour. Cette fonctionnalité est disponible en préversion technique et permet aux utilisateurs d'ajouter des informations d'hôte et d'actif à des événements, de vérifier les adresses IP contre des listes d'intelligence menaçante, et plus encore. La jointure de recherche est une jointure externe gauche qui repose sur un nouveau mode d'index appelé "recherche" pour le côté droit, qui peut être mis à jour directement. L'index de recherche peut contenir divers types de données, tels que des actifs, des données d'intelligence menaçante, des informations de commande, des informations employeur ou client, et plus encore. Historiquement, Elasticsearch manquait de capacité de jointure, mais la jointure de recherche répond à cette limitation. Pour activer les jointures de recherche, un nouveau mode d'index appelé "recherche" a été créé, qui est limité à 2 milliards de documents et est directement mis à jour. Il n'y a aucune restriction sur les données sources, et aucune préparation de données n'est requise pour effectuer une jointure. La jointure de recherche est plus facile à configurer et à gérer que la commande ENRICH dans ES|QL, avec des avantages tels que pas de politiques d'enrichissement à créer, pas d'exécution de politique, et une meilleure gestion des correspondances multiples. Les utilisateurs peuvent créer des indices de recherche de différentes manières, notamment via la gestion des index ou le téléchargeur de fichiers ML dans Kibana. Les possibilités d'utilisation de la jointure de recherche sont infinies, et les développements futurs pourraient inclure d'autres types de jointures, tels que des jointures internes ou des sous-requêtes, et des jointures contre n'importe quel index."