Elastic lance la fonctionnalité de découverte d’attaques : Attack Discovery
juin 2024 par Marc Jacob
Elastic annonce que désormais le SIEM traditionnel sera remplacé par une solution d’analyses de sécurité pilotée par l’IA pour les SOC modernes. Propulsée par la plateforme Search AI, Elastic Security remplace les processus largement manuels de configuration, d’investigation et de réponse aux incidents en combinant la recherche et la génération augmentée de récupération (RAG) pour fournir des résultats encore plus pertinents. La toute dernière fonctionnalité, Attack Discovery, permet de trier des centaines d’alertes pour ne retenir que les quelques attaques importantes avec un simple clic, et de restituer ces résultats dans une interface intuitive, permettant aux équipes chargées des opérations de sécurité de comprendre rapidement les attaques les plus impactantes, de prendre des mesures de suivi immédiates.
Les analyses de sécurité pilotées par l’IA d’Elastic reposent sur la plateforme Search AI, qui comprend RAG, alimentée par la technologie de recherche la plus performante du secteur. La précision et l’actualisation des grands modèles de langage (LLM) dépendent des informations utilisées, c’est-à-dire leurs données d’entraînement sous-jacentes et le contexte fourni avec les prompts. Par conséquent, des données actualisées et riches sont nécessaires pour fournir des résultats précis et adaptés et la collecte efficace de ces connaissances confidentielles nécessite une recherche efficace. Le RAG basé sur la recherche fournit automatiquement ce contexte et élimine la nécessité de développer un LLM sur mesure et de le réentrainer constamment sur des données d’entreprise régulièrement mise à jour.
Attack Discovery exploite de manière unique la plateforme Search AI pour trier et identifier les détails des alertes qui doivent être évalués par le LLM. En interrogeant le contexte enrichi contenu dans les alertes d’Elastic Security avec les capacités de recherche hybride d’Elasticsearch, la solution récupère les données les plus pertinentes à fournir au LLM et lui demande d’identifier et de hiérarchiser les attaques en conséquence, afin de s’occuper des menaces les plus importantes. Il s’agit notamment de données telles que les scores de risque de l’hôte et de l’utilisateur, les scores de criticité des actifs, le niveau de sévérité des alertes, les descriptions et les raisons des alertes.
De nombreux SOC ont des milliers d’alertes à examiner chaque jour. Une grande partie de ce travail est ennuyeux, prend beaucoup de temps et est source d’erreurs. Elastic Security supprime ces efforts manuels. Attack Discovery élimine les faux positifs et associe les signaux forts restants à des chaînes d’attaque discrètes, en montrant comment des alertes connexes font partie d’une chaîne d’attaque. Attack Discovery utilise les LLM pour évaluer les alertes, en tenant compte de la gravité, des scores de risque, de la criticité des actifs, etc. Grâce à ce triage précis et rapide, les analystes peuvent passer moins de temps à examiner les alertes et plus de temps à enquêter sur les menaces et à les traiter.
Depuis son lancement en 2019, Elastic Security s’est développé afin d’inclure les fonctionnalités d’analyse les plus avancées du secteur, notamment les centaines de tâches prédéfinies de détection des anomalies fondées sur le Machine Learning qui repèrent les menaces auparavant inconnues. L’année dernière, Elastic a annoncé le lancement d’Elastic AI Assistant pour Elastic Security, une solution qui vise à aider les analystes des centres opérationnels de sécurité grâce à la création de règles, à la synthèse d’alerte, mais aussi aux recommandations liées aux intégrations et aux workflows.
– Disponibilité
La fonctionnalité Attack Discovery sera mise à la disposition de toutes les personnes disposant d’une licence Enterprise dans le cadre d’Elastic 8.14.