Elastic Security는 미리 구축된 SIEM 탐지 규칙의 사용자 정의를 간소화합니다.

Elastic Security는 사전 구축된 탐지 규칙을 맞춤 설정하고 업데이트하는 것을 더욱 간편하게 만들어 탐지 엔지니어링 워크플로우를 간소화하고 더 넓은 사용 사례를 포괄할 수 있게 했습니다. Elastic Security Labs는 MITRE ATT&CK 프레임워크 전반의 전술, 기술 및 절차에 매핑되는 1,300개 이상의 전문가가 작성한 탐지 규칙을 제공합니다. 이러한 규칙은 진화하는 위협에 앞서 나갈 수 있도록 적극적으로 유지 관리되고 격주로 업데이트됩니다. 보안팀은 이러한 사전 구축된 탐지를 특정 요구 사항에 맞게 조정할 수 있으며, 최신 릴리스를 통해 탐지 엔지니어는 사용자 정의 수정 사항을 잃지 않고도 Elastic에서 제공하는 규칙 업데이트를 적용할 수 있습니다. 새로운 기능은 사전 구축된 규칙을 개별적으로 또는 일괄적으로 편집할 수 있는 기능과 들어오는 변경 사항을 규칙의 현재 버전과 비교하는 기능을 제공합니다. 규칙 업데이트는 오탐을 줄이고 경고 충실도를 높이며, 개선된 규칙 업데이트 경험을 통해 탐지 엔지니어는 우선 순위 규칙 업데이트에 먼저 집중할 수 있습니다. 새로운 개선 사항은 탐지 유지 관리를 크게 줄이고 단순화하여 보안팀이 환경 및 사용 사례에 최적화된 사전 구축된 규칙의 이점을 누릴 수 있도록 지원합니다. 이 기능은 Elastic Security 8.18 및 9.0 버전에서 일반적으로 사용할 수 있으며, 자체 관리 및 클라우드 배포를 위한 Elastic Security Enterprise 구독 티어와 Elastic Cloud Serverless의 Security Analytics Complete 티어를 통해 제공됩니다. 격주 규칙 릴리스는 Elastic Security 내에서 바로 사용할 수 있는 새로운 규칙 및 업데이트된 규칙과 타임라인을 제공하며, 2024년 한 해 동안에만 규칙 라이브러리에 2,420건 이상의 업데이트가 발행되었습니다.