Elastic Security упрощает настройку предопределенных правил обнаружения SIEM.

Elastic Security упростила настройку и обновление предустановленных правил обнаружения, что оптимизирует рабочие процессы разработки обнаружения и расширяет охват вариантов использования. Elastic Security Labs предоставляет более 1300 написанных экспертами правил обнаружения, которые соответствуют тактикам, техникам и процедурам из фреймворка MITRE ATT&CK. Эти правила активно поддерживаются и обновляются два раза в неделю, чтобы помочь оставаться на шаг впереди развивающихся угроз. Команды безопасности могут адаптировать эти предустановленные обнаружения для удовлетворения конкретных потребностей, а с последними выпусками инженеры по обнаружению могут применять обновления правил, предоставляемые Elastic, без потери пользовательских изменений. Новые функции позволяют редактировать предустановленные правила индивидуально или массово, а также сравнивать входящие изменения с текущей версией правила. Обновления правил снижают количество ложных срабатываний и повышают точность оповещений, а улучшенный процесс обновления правил позволяет инженерам по обнаружению сосредоточиться на обновлении приоритетных правил в первую очередь. Новые улучшения значительно сокращают и упрощают обслуживание обнаружений, позволяя командам безопасности воспользоваться преимуществами предустановленных правил, оптимизированных для их среды и вариантов использования. Эта возможность общедоступна в версиях Elastic Security 8.18 и 9.0 через уровень подписки Elastic Security Enterprise для самостоятельного управления и облачных развертываний, а также уровень Security Analytics Complete в Elastic Cloud Serverless. Двухнедельные выпуски правил предоставляют новые и обновленные правила и временные шкалы, доступные прямо в Elastic Security, и только в 2024 году в библиотеку правил было внесено более 2420 обновлений.