Firma Elastic opublikowała 1 sierpnia 2019 roku najnowszą wersję swojego flagowego produktu Elastic Stack 7.3 – wiodącej platformy open source dla gromadzenia, indeksowania, katalogowania i analizy dużych zbiorów danych.
Wraz z nową wersją użytkownicy uzyskują całkiem satysfakcjonujący zestaw nowych możliwości – metod zbierania, analizy i wizualizacji danych.
Przyjrzyjmy się im bliżej.
Data frames – nowe narzędzie analizy danych
Data frames to nowa funkcja umożliwiająca przestawianie danych w locie i tworzenie sumarycznych indeksów wielowymiarowych opisujących analizowany obiekt danych. Wszystkie dane mogą być dynamicznie odświeżane i analizowane. Umożliwia to np. analizę logów z serwerów lub urządzeń sieciowych w czasie zbliżonym do rzeczywistego (NRT) w celu wykrycia niepożądanych zdarzeń. Data frames rozszerzają możliwości analizy opartej na machine learning np. wykrywanie wartości odstających, grupowanie, klasyfikacja i wiele innych.
Przykład zastosowania data frames: wyobraźmy sobie, że chcemy znaleźć podejrzane adresy IP w logach serwera. W tym przypadku warto sprawdzić ilość wysłanych żądań, kody odpowiedzi i całkowitą liczbę przesłanych danych dla każdego adresu IP. Data frames pozwolą nam utworzyć nowy indeks opisujący konkretne adresy IP, który agreguje każdą interesującą nas metrykę – w tym przypadku całkowitą liczbę żądań, liczbę odpowiedzi wg statusu i sumę przesłanych bajtów. W dodatku jest realizowane w trybie ciągłym tak, że nowo pobrane dane aktualizują metryki na bieżąco.
Dzięki data frames możemy zbudować potężny silnik transformacji danych dla nowego rodzaju analiz.
Dowiedz się więcej o data frames.
Wykrywanie anomalii w Elastic SIEM
Funkcjonalność SIEM została dodana już we wcześniejszej wersji Elastic Stack 7.2, jednakże w najnowszej wersji możliwości wykrywania zagrożeń zostały udoskonalone dzięki wprowadzeniu metod machine learning. Teraz użytkownicy mogą w łatwy sposób uruchamiać zestaw reguł wykrywania anomalii, które umożliwiają wykrywanie nietypowych zachowań i potencjalnych cyberataków bezpośrednio w aplikacji SIEM. Wykryte anomalie są prezentowane w przystępnej formie graficznej w aplikacji SIEM – w obu widokach: hosty oraz sieci.
Użytkownicy, którzy chcą wyjść poza gotowe reguły “z pudełka”, mogą łatwo dodawać niestandardowe reguły wykrywania anomalii za pomocą aplikacji Machine Learning.
Dowiedz się więcej o Elastic SIEM.
Elastic Maps – w ogólnodostępnej wersji produkcyjnej
W wersji Elastic Stack 7.3 funkcje geoprzestrzenne są szybsze i bardziej wydajne.
Elastic Maps zostały wprowadzone do rozwiązania już w wersji beta 6.7 i od tego czasu trwały prace nad poprawą intuicyjności oraz interaktywności eksploracji i zrozumienia danych geoprzestrzennych w Kibanie. Dzięki temu w wersji 7.3 Elastic Maps stanowią w pełni rozwiniętą funkcjonalność z dodatkowymi ulepszeniami, którymi są:
- przesyłanie funkcji, kształtów i warstw do map z plików GeoJSON;
- możliwość drukowania niestandardowych ikon i wizualizacji ostatniej znanej lokalizacji.
Dowiedz się więcej o Elastic Maps.
Pozostałe nowości w Elastic Stack 7.3:
- Elasticsearch dostarcza funkcjonalność agregacji rzadkich terminów, nowy interfejs zarządzania migawkami oraz ich przywracaniem, dynamicznie aktualizowane synonimy i wiele innych usprawnień. ->Więcej.
- Kibana wprowadza obsługę Kerberosa, autouzupełniania i obsługę KQL do filtrowania agregacji, a także nowe szablony dla Canvas Workpad ułatwiające tworzenie estetycznych prezentacji. ->Więcej.
- Beats umożliwia obsługę wielu nowych źródeł danych w tym: relacyjnych baz danych (Oracle i Amazon RDS), metryk dla Kubernetes (kube-proxy, kube-scheduler i kube-controller-manager), Network Flow dla GCP VPC oraz ulepszoną obsługę Amazon Kinesis Data Streams i Amazon Cloudwatch poprzez Functionbeat. ->Więcej.
- Logstash wprowadza domyślną obsługę JMS. ->Więcej.
- Agent Elastic APM .NET w ogólnodostępnej wersji produkcyjnej; Elastic APM dodaje nowy sposób przeglądania usług w postaci wykresu zagregowanej struktury usług, konfigurację częstotliwości próbkowania agenta bezpośrednio z poziomu Kibany i wiele innych. ->Więcej.
- Elastic Uptime ulepsza monitoring wielu lokalizacji dzięki podsumowaniom i detalom monitorów. ->Więcej.
- Elastic Logs dodaje podświetlanie słów kluczowych wraz z możliwością przejścia do logów APM na podstawie trace.id. ->Więcej.
- Elastic Infrastructure udostępnia: funkcjonalność Metrics Explorer w ogólnodostępnej wersji produkcyjnej, która teraz szybciej i lepiej prezentuje agregacje dla szeregów czasowych; dodano też udoskonalone dodatkowe funkcje monitorowania podstawowych usług Kubernetes i nowego zestawu metryk RDS w module AWS. ->Więcej.
Jeżeli interesuje Cię Elastic Stack lub potrzebujesz wsparcia do produktu, zapraszamy do kontaktu