Elasticsearch 7.6.0 (2020-02-11)

See also

• https://github.com/elastic/kibana/releases/tag/v7.6.0

• https://github.com/elastic/elasticsearch/releases

• https://www.elastic.co/guide/en/elasticsearch/reference/7.6/release-notes-7.6.0.html

• https://www.elastic.co/fr/blog/elastic-stack-7-6-0-released

Annonce

Nous sommes ravis d’annoncer la disponibilité générale de la Suite Elastic 7.6.

Cette version siffle le coup d’envoi d’un nouveau moteur de détection SIEM et d’un ensemble optimisé de règles de détection, que nous avons alignées sur la base de connaissances MITRE ATT&CK™, afin de rationaliser la détection automatique des menaces.

Mais la version 7.6 vient aussi doper les performances d’Elasticsearch, elle accélère la mise en œuvre des tâches de machine learning supervisé grâce à des fonctionnalités d’inférence à l’ingestion, et renforce l’observabilité et la sécurité du cloud, grâce à de nouvelles intégrations de données.

Et ce n’est là qu’un petit aperçu de toutes les nouveautés de cette version, qui s’avère passionnante.

Elasticsearch devient plus rapide – oui, encore plus rapide

Ce n’est pas tous les jours que les requêtes Elasticsearch font un bond pour devenir plusieurs fois plus rapides. Cette fois, nous avons trouvé un moyen de booster radicalement les performances des requêtes qui sont triées par dates ou par d’autres valeurs assez longues.

Pour ce faire, nous avons réussi à appliquer l’optimisation block-max WAND aux requêtes triées – un moyen plutôt judicieux de cesser de compter les nouveaux résultats lorsque, clairement, ils n’auront aucun impact.

Oui, nous parlons bien du même algorithme Block-Max WAND qui avait accéléré la recherche des meilleurs résultats k dans la version 7.0.

C’est évidemment une énorme avancée.

Les tris par date font partie des tâches les plus courantes dans les cas d’utilisation d’observabilité et de sécurité.

Rechercher une erreur dans l’application Elastic Logs, examiner une menace dans Discover… Voilà quelques exemples de tâches, parmi tant d’autres, qui vont faire un bond grâce à cette nouveauté.

Et pour passer à la vitesse supérieure, il suffit d’une mise à niveau vers la version 7.6.

Depuis l’apprentissage jusqu’à l’inférence, le machine learning supervisé fait désormais partie de la Suite Elastic en natif

Avec la fonctionnalité de machine learning intégrée à la Suite Elastic, notre objectif a toujours été d’en faire un outil si simple à utiliser, que n’importe qui pourrait l’exploiter.

Dès son premier lancement dans la version 5.4, nous avions fait en sorte que la détection des anomalies soit aussi simple que la création d’une visualisation dans Kibana.

L’outil était ainsi accessible à une audience plus large et les équipes de data science gagnaient encore en efficacité.

Dans cette version 7.6, nous intégrons à la Suite des fonctionnalités de machine learning supervisé de bout en bout, depuis l’entraînement d’un modèle, jusqu’à son utilisation pour l’inférence au moment de l’ingestion.

Dire que nous en sommes ravis est un euphémisme.

L’idée, c’est de rendre des méthodes de machine learning supervisé comme la classification et la régression dans Elasticsearch encore plus rapides à mettre en œuvre pour les professionnels de l’observabilité, de la s écurité et de la recherche en entreprise.

Par exemple, un analyste de la sécurité peut désormais développer un modèle de détection de bots qui s’appuie sur la classification, puis exploiter le nouveau processeur d’inférence à l’ingestion, afin d’inférer et de libeller le nouveau trafic en tant que bot (ou non bot) au moment de l’ingestion.

Le tout, nativement, dans Elasticsearch.

Elastic Security

Des temps de détection quasi nuls grâce au nouveau moteur de détection SIEM et à l’alignement des règles sur MITRE ATT&CK™

Dans sa version 7.6, Elastic Security propose un nouveau moteur de détection SIEM : nous automatisons ainsi la détection des menaces et réduisons au maximum le temps moyen de détection (MTTD, ou “mean time to detect”).

Elasticsearch étant au cœur d’Elastic SIEM, les analyses de sécurité ne prennent déjà plus que quelques minutes au lieu de prendre des heures.

Avec cette nouvelle fonctionnalité de détection automatique, nous détectons des menaces autrement indécelables, et nous réduisons davantage le temps moyen de détection.

Nous lançons également près de 100 règles immédiatement opérationnelles, que nous avons alignées sur la base de connaissances ATT&CK, afin de vous aider à détecter des signes de menace que d’autres outils ne parviennent souvent pas à repérer.

Créées et maintenues par les experts en sécurité d’Elastic, ces règles sont conçues pour détecter automatiquement les outils, tactiques et procédures symptomatiques des menaces.

Le moteur de détection génère des scores de risque et de gravité en fonction des signes détectés, ce qui permet aux analystes de catégoriser efficacement les menaces et de se concentrer sur l’essentiel.

Nous publions le moteur de détection et les règles prépackagées dans le niveau Basic gratuit d’Elastic Security : l’analyse automatique à grande échelle est ainsi accessible à tous les professionnels de la sécurité, où qu’ils se trouvent.