作者：來自? Elastic?Mark Settle, Tamarian Del Conte, James Spiteri, Tinsae Erkailo, Charles Davison, Raquel Tabuyo, Kseniia Ignatovych, Paul Ewing, Smriti

檢測規則的自動遷移、用于 ES|QL 的 Lookup Join、AI 功能增強，以及更多功能。

Elastic Security 8.18 和 9.0 帶來了幫助安全運營團隊更高效工作、快速響應威脅的更新。此版本包括為 Splunk SIEM 用戶提供的遷移支持、新的 ES|QL Lookup Join 功能，簡化數據豐富和分析，以及多個可用性改進。攻擊發現和自動導入現在已正式發布（GA），并且對 Elastic AI Assistant 的改進以及對自定義檢測規則的支持也已加入。

Elastic Security 端點功能現在包括與 Microsoft Defender 和 CrowdStrike 的自動化響應集成，以及通過機器學習進行主機流量異常檢測。這些新增功能有助于減少手動工作量，加速調查，并增強端點可見性和響應能力。

簡化從傳統?SIEM 遷移到 Elastic Security

遷移到新的 SIEM 可能會使一些團隊陷入使用過時解決方案的困境，從而減緩檢測、調查和響應的速度。Elastic Security 8.18 和 9.0 中的新功能自動遷移，加速了你向現代 SIEM 的過渡。

我們首次發布的自動遷移，目前在技術預覽階段，提供了一個 AI 驅動的工作流程，用于將傳統?SIEM 檢測規則遷移到 Elastic Security。我們首次支持 Splunk，包括多租戶環境，并計劃盡快擴展到其他傳統?SIEM。還計劃支持其他類型的 SIEM 內容，如儀表盤和可視化。

自動遷移加速了將傳統?SIEM 內容遷移到 Elastic Security 的過程，從現有的檢測規則開始。它將某些規則映射到 Elastic Security Labs 主動維護的預構建檢測，并將許多其他規則（包括相關的查找和宏）轉換為在 Elastic 中運行。

該 AI 驅動的功能驗證轉換后的規則，確保它們按預期運行，并在缺少所需數據源時推薦相關集成。為了高效審查，它將原始規則和轉換后的規則并排呈現。當需要進一步更新時，Elastic AI Assistant 引導實踐者采取最佳后續行動。

通過 ES|QL 中的連接功能進行臨時數據豐富

此版本引入了 Elasticsearch 查詢語言（ES|QL）中的 Lookup Join 支持 —— 這是一個備受需求的功能，顯著增強了 Elastic Security 中的數據關聯工作流。憑借這一新功能，實踐者現在可以在查詢中動態增強分析，使用 Lookup Join 功能。

與需要預配置策略和策略執行的數據豐富工作流不同，ES|QL Lookup Join 允許用戶動態地跨數據集進行關聯。無論是匹配資產元數據、用戶屬性、威脅情報，還是業務上下文，現在都更容易將相關上下文納入調查。

讓我們看看一個實際的安全用例。在警報甄別過程中，分析人員經常會問：“這個警報是否包含威脅源中標記的 IOCs？關于主機或用戶實體是否有更多信息？我是否能通過組織特定的數據了解更多關于這個警報的內容？”所有這些問題通常意味著分析人員在另一個索引中尋找更多信息，這是一個經典的 Join 用例。現在，你可以做到這一點！

在下面的視頻中，你可以看到用戶如何查詢警報中的屬性（例如文件名），然后與其他數據存儲（如威脅源）進行比較，并將這些信息返回到最終結果中！

Elastic Security 繼續引領 AI 和 SIEM 的發展

攻擊發現和自動導入現在已正式發布（GA），并且在 Elastic Security 的 AI 功能上進行了增強：

• 攻擊發現（Attack Discovery）全面評估傳入的警報，揭示正在發展的攻擊并指導分析人員阻止它們。通過對警報過濾和自定義日期范圍的支持，你可以完全控制分析的內容，幫助 Elastic 提取出重要的信息。
• 自動導入（Automatic Import）可以在幾分鐘內構建自定義數據集成 —— 現在它還可以構建從任何 REST API 獲取數據所需的配置。只需上傳 OpenAPI 規范，讓自動導入處理其余部分，確保數據以最小的努力實現無縫導入。
• Elastic AI Assistant現在會在其響應中引用來源，因此你可以看到信息的來源。它還引入了一個 API 來管理知識來源，并改進了審計日志記錄。這些更新反映了我們對可解釋 AI 的持續關注，確保助手既有幫助又具可追溯性。

在不丟失自定義更改的情況下更新 Elastic 構建的規則

Elastic 包括了由 Elastic Security Labs 構建和維護的 1,300 多條檢測規則。組織有時會根據特定需求調整這些規則（例如，調整條件、添加標簽）。從 8.18 版本開始，你可以應用規則更新而不覆蓋自定義更改。

僅去年，Elastic Security Labs 就改進了現有規則超過 2,400 次。通過這種規則管理增強功能，已經進行過修改的組織可以繼續受益于這些更新，而無需手動重新應用自定義內容。這使得隨著時間推移，定制和維護預構建檢測規則變得更加容易，簡化了檢測工程工作流，并幫助團隊用更少的努力擴展到更多的用例。

通過自動故障排除消除沖突

在已有殺毒軟件或 EDR 工具的環境中部署端點保護可能會導致軟件沖突。一個新的 AI 驅動的故障排除工作流程（從 Elastic Agent 開始）有助于避免這些問題，確保 Defend 集成不會干擾主機上的其他軟件。

由生成式 AI 驅動的自動故障排除功能可以檢測已安裝的安全工具，并指導你將其添加為受信應用程序。這個任務過去需要通過系統數據進行深入挖掘并手動配置所有內容。現在，它變得更快、更容易、更可靠，讓你可以放心地部署，并保持保護運行而不會中斷。

從 Elastic Security 執行第三方端點響應操作

Elastic 繼續發展成為一個統一的、供應商無關的平臺，用于端點分析 —— 為分析人員提供一個集成的解決方案，以便在任何環境中進行檢測、調查和響應。基于在 Elastic Defend 中采取響應操作的能力，分析人員現在可以直接對由 CrowdStrike Falcon、Microsoft Defender for Endpoint 和 SentinelOne 保護的主機采取行動 —— 無需離開 Elastic 界面。

這包括隔離或釋放主機、收集文件、運行腳本（CrowdStrike）、列出或終止進程（SentinelOne），所有操作都在平臺之間進行實時同步。這些雙向集成簡化了響應工作流，減少了上下文切換，使得跨不同端點部署執行一致的、經過充分考慮的操作變得更加容易 —— 一切都可以在單一的集中工作區中完成。

無需安裝的集成

Elastic 在 8.16 版本中首次推出了無需安裝的數據集成，簡化了云安全態勢管理。在此版本中，我們將無代理支持（公開測試版）擴展到 15 種廣泛使用的集成，包括 CrowdStrike、Google Workspace、Microsoft 365 Defender、Okta、Qualys VMDR、SentinelOne 等。

這些集成使得將有價值的安全和 IT 數據導入 Elastic 變得更加容易，無需安裝代理或管理數據導入基礎設施。在集成設置過程中，只需選擇無代理選項（agentless option）即可開始流式傳輸數據。這種更廣泛的支持幫助團隊加速各種分析用例——從身份和端點可見性到資產清單和基于風險的警報 —— 無需額外的操作開銷。

嘗試一下

請閱讀 Elastic Security 發布說明，了解更多這些功能。

體驗 Elastic Security 的最快、最簡單方式是在 Elastic Cloud Serverless 上。立即嘗試。

本文中所描述的任何功能或功能的發布和時機完全由 Elastic 自行決定。任何當前不可用的功能、支持計劃或功能可能無法按時或完全交付，提及這些計劃或想法僅反映我們的戰略目標和方向。這些計劃可能會更新、取消或推遲。

在本文中，我們可能使用或提到第三方生成式 AI 工具，這些工具由各自的所有者擁有和運營。Elastic 無法控制這些第三方工具，我們對其內容、操作或使用不承擔任何責任，也不對因使用這些工具而產生的任何損失或損害負責。在使用 AI 工具處理個人、敏感或機密信息時，請謹慎行事。您提交的任何數據可能會用于 AI 訓練或其他目的。我們不能保證您提供的信息會被安全或保密地存儲。使用任何生成式 AI 工具之前，您應熟悉其隱私政策和使用條款。

Elastic、Elasticsearch 和相關標志是 Elasticsearch N.V. 在美國和其他國家的商標、標識或注冊商標。Splunk 和其他相關標志是 Splunk Inc. 在美國和其他國家的商標或注冊商標。Microsoft 和其他相關標志是 Microsoft 集團公司 的商標。Crowdstrike 是 Crowdstrike, Inc. 的商標。SentinelOne 是 SentinelOne, Inc. 的注冊商標。所有其他公司和產品名稱均為各自所有者的商標、標識或注冊商標。

原文：New in Elastic Security 8.18 and 9.0: Automatic Migration, ES|QL Lookup Join | Elastic Blog