Elastic 7.13强化对开源主机检测框架Osquery的支持

Elastic发布了最新软件堆栈Elastic 7.13版本,这个新版本在企业搜索、可观察性和安全解决方案,都加入新功能。除了提供正式的冻结层存储服务外,还加入执行时字段(Runtime Fields)功能,强化分析能力,并且改善开源主机检测框架Osquery集成,提供用户进行更强大的安全分析。

现在Elastic冻结层(Frozen Tier)资料存储服务已经正式上线,用户不需要取舍要留下或是删除的资料,能够以冻结层低成本存储PB级资料,并且以更具成本效益的方式,对存储在对象存储中的资料进行大规模搜索。

官方解释,虽然对象存储极具成本效益,但是这种存储方式会影响搜索性能,而Elastic则是会根据需要,从对象存储中截取必要的内容,并根据需要在本地端缓存,以高效率低成本的方式完成资料查询。无论用户的使用场景是构建仪表板,还是针对庞大资料集进行查询,官方强调,冻结层都能提供良好的搜索体验。

Elastic 7.13强化了可观察性功能,让资料分析师可以运用Discover和Kibana Lens,在执行时额外加入资料字段参与分析。这项功能适用的场景,官方举例,当用户有一个问题想要进行研究,而手中刚好没有可使用的资料,则Discover和Kibana Lens的执行时字段功能,就可以让资料分析师快速产生需要的资料。

执行时字段供分析师探索和强化所使用的资料,通过执行时字段编辑器,在Discover和Kibana Lens动态创建字段,并且进行格式化、修改和转换资料,以方便弹性的方式进行资料分析,而且不需要切换到其他画面进行额外操作。这个灵活的资料分析功能,让分析师独立执行资料探索工作,并且在工作流程中直接修改使用的资料,当场查看结果。

在安全性上,Elastic 7.13扩大支持开源主机检测框架Osquery,供Elastic Agent能使用新的主机管理集成,通过结合Osquery主机资料来进行统一分析。Osquery主机管理集成让企业安全团队,可以用Osquery来解决网络威胁,用户只需要点击接口,就可以在Windows、macOS和Linux主机上安装与调度Osquery。

Osquery资料会存储在Elasticsearch中,并且在Kibana中显示,用户可以使用一个或多个代理来执行即时查询,并且定义调度查询,以掌握组织系统的安全状态,Osquery资料可与其他事件、威胁和异常资料进行综合分析,提高主机可见性,增强企业安全分析和监控能力。

发表评论