Elastic Security新版采用新的威胁侦测引擎

用于搜寻企业内部资料的搜索引擎Elasticsearch开发商Elastic，更新其安全工具Elastic Security至7.6版本，Elastic Security建构于安全资讯与事件管理系统Elastic SIEM和Endpoint Security工具之上，这个版本Elastic SIEM加入新的规则威胁引擎，强化了侦测与客制化规则的能力，并增强Windows主机上的端点侦测功能。

该系统加入基于规则的威胁侦测新引擎，能自动侦测企业网络中的可疑活动，并立即作出回应。Elastic Security能够扫描企业内数百万笔的日志，从中侦测并筛选出威胁，通知安全团队需要注意的事件。安全人员可以在社群中，共享自定义的威胁侦测规则，让企业用户能互助快速获得侦测新威胁的能力。

这些规则使用与Elastic Common Schema相容的格式，可分析来自于Windows、macOS、Linux系统以及其他来源的网络资料，安全团队可以创建或自定义规则，并且自动适用于往后新加入的资料来源。Elastic也发布了符合ATT&CK知识库，现成约100个规则，可侦测恶意工具与程序，这些规则由Elastic专家创建，并且不断更新以因应新的威胁。ATT&CK是由美国-资助的MITRE非营利研究组织，所提出的资安框架，以标准化的方式描述入侵威胁。

除了更强的Elastic SIEM侦测功能之外，Elastic Security现在也能更全面地掌握Windows活动，并收集易受威胁规避技术掩盖的资料，其提供开箱即用的侦测功能，能够发现想要捕捉键盘输入的恶意程式，或是载入恶意程式码至其他程序的意图。企业使用者可以结合侦测规则与自动化回应，以达到分层预防的目的。

官方也在新的Elastic SIEM总览页面改进工作流程，让用户能够更快速地寻找并调查安全威胁事件。点开页面中的时间轴，就能浏览最新的侦测讯号，也能查看来自Endpoint Security或Palo Alto Networks等外部来源的资料。Elastic Security 7.6也开始支援AWS CloudTrail资料，并且强化GCP的支援，提升攻击面的可见度。