Elasticsearch, Logstash, Kibana ale taky Filebeat anebo Endgame

Společnost elastic nabízí spoustu školení, některá také zdarma. Před nějakou dobou jsem absolvoval Fundamentals of Securing Elasticsearch, užitečný kurz co se týká zabezpečení komunikace mezi Elasticsearch hosty. Zajímalo mě, kam se posunula Kibana a také jak vypadá SIEM, který elastic nějakou dobu nabízí (byť je to pořád beta).

Vybral jsem si pár kurzů: Kibana for Splunk Users, Elastic SIEM Fundamentals, Anomaly Detection for Cybersecurity a Elastic Endpoint Security Fundamentals.
Kibana je lepší a lepší. Možnosti vizualizace jsou ohromné (srovnám-li to se Splunkem, kde potřebujete instalovat další a další Add-ons). Strojové učení (machine learning) je mocný nástroj, ve chvíli když se potřebujete seznámi s neznámými daty a udělat si rychlý přehled. Nebo když chcete rychle zjistit, jaké jsou odchylky od normálu. Můžu-li to srovnat se Splunkem tak je to nebe a dudy. Implementace z dílny elasticu mi přijde daleko lepší a intuitivnější (pro analytika).
Největší radost jsem měl z Endpoint Security (Endgame). Jednoduše se nasazuje (na koncovém stroji), správa politik a práce s alerty jsou na výborné úrovni. Problémem může být, že většina „ochran″ je šita na míru systémům Windows, případně macOS. Na Linux toho moc nenajdete (což není potěšující, nicméně konkurence na tom není o mnoho lépe). Z pohledu analytika jsem měl velkou radost z vizualizace.

Ve chvíli, když hledáte co všechno po sobě malware zanechal, je tohle ten nejužitečnější pohled. Po prokliku vidíte všechno co je potřeba. Prostě radost! EDR do každé (firemní) sítě, na každý počítač.