Elastic Stack 7.7 Released
E’ stata rilasciata la nuova versione 7.7 dello Stack Elastick; la nuova versione è disponibile sia on-Cloud che on-Premises.
La nuova versione, pur non essendo una major version, introduce un numero di feature talmente elevato che di fatto anticipa la versione 8 dello Stack. Gli update spaziano dall’introduzione di un nuovo framework di alerting in Kibana, nuove migliorie all’APM, al SIEM (con l’integrazione di ServiceNow). Vediamole nei dettagli.
Nuovo sistema di Alerting
E’ stato introdotto un nuovo sistema di alerting in Kibana; su ogni app in Kibana è possibile definire una soglia oltre la quale viene generato un trigger gestibile tramite azioni predefinite o meccanismi di notifica. Tenendo in mente questo obiettivo, il sistema di alerting è stato completamente riscritto da zero.
SIEM ora supporta l’invio di notifiche tramite avvisi quando viene applicata una regola. Elastic Observability introduce un sistema di alerting strettamente integrato direttamente nelle app Metrics, APM e Uptime. In Metriche, è possibile creare un avviso dalla vista “Esplora metriche” per attivare un avviso quando qualcosa cambia nell’infrastruttura. In APM si possono impostare regole per rilevare cose come i turni nei tempi di transazione o aumenti dei tassi di errore su qualsiasi servizio. Con Uptime si possono creare facilmente avvisi quando lo stato cambia in uno dei tuoi servizi monitorati.
Ricerche asincrone
Il motore Elasticsearch è ottimizzato per effettuare ricerche in tempi molto brevi. Tuttavia, non tutti i casi d’uso richiedono una ricerca rapida in qualsiasi momento, per tutti i tipi o quantità di dati. Nel corso degli anni, Elasticsearch ha aggiunto diverse funzionalità (ad es. supporto hot-warm e frozen index) per offrire agli utenti la flessibilità necessaria per bilanciare la velocità di esecuzione della ricerca, la quantità di dati che possono essere cercati in una sola volta e il costo dell’hardware. Per questo motivo, Elasticsearch 7.7 ha aggiunto la ricerca asincrona che permette di “rallentare” e cercare su enormi quantità di dati; in questo modo è possibile sfruttare al meglio HW e storage non altamente performanti.
La ricerca asincrona consente di eseguire query con lunghi tempi di esecuzione in background, consentendo di tenere traccia dei loro progressi e recuperare risultati parziali non appena diventano disponibili. Kibana 7.7 utilizza la ricerca asincrona in Dashboard e Discover. Ad esempio, se il tempo di query della dashboard si avvicina al limite di timeout di Kibana, gli utenti visualizzeranno una notifica che consente loro di ignorare il timeout e di eseguire la dashboard fino al completamento.
Elastic Enterprise Search
Oggi le aziende operano in ambienti più distribuiti e virtuali che mai. Le conoscenze organizzative sono sparse su una serie di app e strumenti di collaborazione: Microsoft 365, Google G Suite, Salesforce, Zendesk, Google Drive, OneDrive, Dropbox, GitHub, Jira, ServiceNow, SharePoint Online, Confluence e altri. L’ obiettivo di Elastic Workplace Search è quello di aiutare le organizzazioni a creare un modo centralizzato per utilizzare efficacemente questa conoscenza eterogenea e distribuita.
Elastic Observability
Elastic APM 7.7 aggiunge mappe di servizio per fornire una visione grafica delle dipendenze tra le tue applicazioni e i servizi esterni che chiamano. Elastic APM utilizza i dati della transazione per determinare quali servizi stanno comunicando tra loro e crea automaticamente la mappa dei servizi in base a tali dati. Nelle architetture distribuite e spesso dinamiche di oggi, un’immagine grafica live spesso è fondamentale per la comprensione dei sistemi.
La mappa dei servizi mostra indicatori di prestazioni di alto livello per ciascun servizio, insieme a informazioni di riepilogo su tutti i servizi esterni chiamati.
Elastic Security
Elastic Security 7.7 introduce la gestione integrata dei case, offrendo ai Security Operations Teams un maggiore controllo sui flussi di lavoro di rilevamento e risposta. Gli analisti ora possono aprire, aggiornare, taggare, commentare, chiudere e integrare i casi con sistemi esterni utilizzando flussi di lavoro integrati.
I SOC teams possono includere linee di indagine nelle regole di rilevamento SIEM per fornire risorse contestuali – come raccomandazioni di riparazione e informazioni di riferimento – agli analisti della sicurezza responsabili della qualificazione e dell’indagine di potenziali minacce.
Il workflow di gestione degli embedded case, fornisce ai team SOC le informazioni per tenere traccia dei tempi di rilevamento e generare dashboard che mostrano il tempo medio di risposta (MTTR) e altri KPI relativi alla sicurezza.
Elastic SIEM aggiunge l’integrazione nativa con ServiceNow ITSM
La nuova funzionalità di case management in Elastic SIEM si integra direttamente con ServiceNow ITSM, consentendo agli analisti di inoltrare informazioni da Elastic SIEM alla piattaforma ServiceNow per il monitoraggio e la correzione dei ticket tra organizzazioni. Il connettore nativo consente gli aggiornamenti dei casi, garantendo che gli analisti operino sempre con le informazioni più aggiornate.
Potete trovare maggiori informazioni sulle soluzioni e sui prodotti Elastic collegandovi a queste risorse:
The Elastic Stack
Solutions