Elastic breidt cybersecurity-portfolio uit met SIEM-oplossing

Elastic heeft besloten verder de cybersecurity-markt op te gaan, met de lancering van een nieuw product. De SIEM-oplossing, die gebruikt wordt om dreigingen op te sporen in enterprise-netwerken, wordt onderdeel van de nieuwe versie van Elastic Stack. 

SIEM staat voor Security Information and Event Management. De oplossing, Elastic SIEM, wordt in eerste instantie beschikbaar als bèta, schrijft Silicon Angle. Die versie verschijnt in Elastic Stack, een productbundel met de open source data management- en analytics-tools van het bedrijf.

De kern van de suite is de veelgebruikte Elasticsearch zoekmachine, die enterprises gebruiken om hun werknemers te helpen bij het navigeren door interne informatie-repositories. De suite bevat verder uitgebreide functies voor het verwerken van data, waardoor het ook een populaire tool werd voor dreigingsanalyses. Organisaties als Slack en Cisco’s Talos-groep hebben hier hun gehele beveiligingsinfrastructuur bovenop gebouwd.

Elastic SIEM

Met Elastic SIEM worden de kernmogelijkheden van de suite uitgebreid met extra functies. Die functies zijn ontworpen om het werk van netwerkbeschermingsteams te vereenvoudigen. Het product is toegankelijk via een nieuw dashboard in Kibana, een datavisualisatie-tool die meegeleverd wordt met Elastic Stack. Het dashboard is opgesplitst in drie views, die zich ieder richten op een ander deel van de workflow bij het zoeken naar dreigingen.

De eerste view is Timeline Event Viewer, een werkbank voor het onderzoeken van potentiële breaches. Beveiligingsprofessionals kunnen een zoekbalk gebruiken om objecten als applicaties die zich verkeerd gedragen op te zoeken, en ze naar een query-bouwer te slepen om te zoeken naar verdachte activiteiten. De tool stelt gebruikers in staat om bewijs van een breach te bewaren, gerelateerde informatie toe te voegen en notities toe te voegen voor collega’s.

De data die via de Timeline Event Viewer omhoog komt, is ook toegankelijk via de andere twee views. Eén daarvan is Hosts, die server-activiteit volgt. De tweede view is beschikbaar onder het Network-tabblad en laat gebruikers netwerk-metrics monitoren. Het gaat dan bijvoorbeeld om hoeveel data het zakelijke netwerk verlaat.