Elastic lance la Suite Elastic 7.5.0
décembre 2019 par Marc Jacob
Elastic N.V. annonce la disponibilité de la Suite Elastic 7.5. Cette nouvelle version accélère et rend plus intuitive la création de visualisations grâce au nouveau Kibana Lens, offre des améliorations majeures des solutions Observability, Security, et intègre désormais Elastic Enterprise Search.
Kibana Lens : la visualisation des données complètement revisitée
Kibana est (et a toujours été) le meilleur moyen de visualiser les données stockées dans Elasticsearch et de naviguer dans la Suite Elastic. Cette version 7.5 introduit Kibana Lens permettant de transformer des données brutes pour créer des visualisations pertinentes aussi vite et aussi naturellement que vous le pensez sans nécessiter d’expérience technique, ni de connaissance d’Elasticsearch. Lens métamorphose l’expérience du glisser-déposer et permet de basculer facilement entre les types de graphiques et les différents modèles d’index. Au fur et à mesure de l’ajout de champs à un graphique, Lens propose des suggestions intelligentes d’affichage d’autres vues des données. Associé à la rapidité d’Elasticsearch, Lens accélère et facilite encore davantage la visualisation, l’exploration et la compréhension des données.
L’enrichissement accru au moment de l’indexation dans Elasticsearch
Qu’il s’agisse d’analyser une ligne de log avec Grok ou dissect, ou d’ajouter des données géographiques à une adresse IP, dans la Suite Elastic, les pipelines d’ingestion assurent de plus en plus le gros du traitement. Le nouveau processeur Enrich de la version 7.5 permet désormais d’interroger un index Elasticsearch et d’ajouter les résultats à un document au moment de l’indexer. Il est alors possible d’identifier des services web ou des fournisseurs en fonction d’adresses IP connues, d’ajouter des codes postaux en fonction des coordonnées de l’utilisateur, ou encore de rechercher des informations sur l’hôte, ingérées depuis une base de données de gestion de la configuration, puis d’ajouter les métadonnées pertinentes à votre document juste au moment de l’indexer.
Elastic Enterprise Search
Elastic Enterprise Search est conçu pour connecter les collaborateurs et les équipes au contenu dont ils ont le plus besoin pour mener à bien leurs activités. Les entreprises ayant investi dans des produits Microsoft, Elastic Enterprise Search propose maintenant des intégrations en un clic à SharePoint Online, Office 365 et OneDrive. L’unification et l’interrogation des plateformes devient plus encore simple. De plus, Enterprise Search intègre aussi un tout nouveau connecteur ServiceNow pour centraliser en un emplacement unique toutes les informations relatives aux opérations métier. Ces nouvelles sources viennent s’ajouter à celles qu’il est déjà possible d’intégrer, telles que Salesforce, Google Drive, Atlassian JIRA, Confluence ou encore Dropbox.
Elastic Observability
Le nouveau Elastic Observability regroupe désormais les produits Elastic Logs, Metrics, APM et Uptime, afin d’offrir une vision plus complète et plus globale sur toute l’entreprise. La Suite Elastic 7.5 étend également les capacités d’Elastic Metrics en ajoutant plusieurs intégrations essentielles entre les données APM, de logging et de sécurité. De plus, dans le cadre de son partenariat avec Microsoft, Elastic lance le monitoring clé en main des logs et indicateurs Microsoft Azure. Enfin, pour la première fois, il devient possible d’afficher directement les données Endpoint Security dans les applications Elastic Metrics et Elastic Logs.
Autre grande nouveauté : Elastic Enterprise Search fait désormais partie de la Suite Elastic. Il s’agit de la version 7.5.0 proposée actuellement en bêta.
Elastic Security
Suite à son récent rachat d’Endgame, Elastic annonce la fin de la tarification par point de terminaison pour les EPP (plateformes de protection des points de terminaison) et l’EDR (détection et réponse sur les points de terminaison). Sans oublier que les abonnements Enterprise comprennent maintenant la protection d’un nombre illimité de points de terminaison, sans devoir choisir quelles machines méritent d’être protégées simultanément. Enfin, les analystes de la sécurité devant pouvoir accéder aux événements de sécurité de toute l’infrastructure, ordinateurs de bureau et ordinateurs portables compris, la version 7.5 d’Elastic SIEM intègre désormais les données et les alertes d’Endpoint Security directement dans l’application SIEM.
Côté détection des menaces via Machine Learning, la version 7.5 d’Elastic SIEM permet maintenant d’identifier dans l’activité DNS des modèles inhabituels potentiellement synonymes de tunnels DNS ou de comportements de commande et de contrôle, des connexions inhabituelles via RDP ou encore l’utilisation de la commande runas. Et ce ne sont là que quelques exemples de tout ce que vous pouvez maintenant détecter. De plus, l’application SIEM elle-même propose désormais de nouvelles visualisations et de nouveaux widgets qui facilitent la recherche des menaces : visualisations interactives de l’activité de l’hôte, nouvel affichage TLS pour détecter les certificats inhabituels, mais aussi de simplifier la recherche des menaces grâce aux empreintes digitales TLS, telles que le hachage JA3.