Elastic 7.9 版本发布,提供免费的 Workplace Search 和终端安全功能

我们非常高兴地宣布 Elastic Stack 7.9 版正式发布。新版本为 Elastic 企业搜索、可观测性和安全等解决方案带来了一系列新功能,这些解决方案都以 Elastic Stack(包括 Elasticsearch、Kibana、Logstash 和 Beats)为基础构建而成。7.9 为市场带来了多项重大的新功能,通过全新的 Elastic Agent 转变了客户和用户向 Elastic 中采集数据的方式,新推出了 Elastic Workplace Search(属于 Elastic 企业搜索)的免费分发级别,并且在 Elastic 安全中推出了 Endpoint Security 免费分发级别的公测版——该公测版可将恶意软件预防功能直接集成到 Elastic Stack 中,是我们提供全面、集成的终端安全过程中的首个重大里程碑。

并且,我们也在不断完善 Elastic Cloud 的功能,它是部署 Elastic Stack 和我们其他解决方案的最佳空间。在过去的几个月里,我们启动了对 AWS PrivateLink 连接性的支持,实现了 FedRAMP Moderate 授权,简化了购买选项,并启动了对三个新地区的支持。当然,Elastic 7.9 目前即可在 Elastic Cloud 上使用,这是唯一一个包含 7.9 版本所有新功能的托管型 Elasticsearch 产品。或者,您也可以下载 Elastic Stack 以及我们的云编排产品 Elastic Cloud Enterprise 和 Elastic Cloud for Kubernetes,进行自管型部署。

 

 

这是一个打包发布版本,我们将在下文中分享一些关键的版本亮点。若要了解完整的功能介绍,请详阅各个解决方案和产品的博客文章。现在,让我们来深入了解一下。

推出全新方法助您开启 Workplace Search(属于 Elastic 企业搜索)的使用之旅

好消息:Workplace Search 加入免费分发级别

继 Workplace Search 在 7.7 版本中正式推出,并可以在 Elastic Cloud 上使用之后,这一工具现可在基础级免费分发级别中使用。通过整合您的所有内容平台(如 Google 云端硬盘、Gmail、Salesforce、SharePoint、Jira 等)来为公司/组织提供个性化的搜索体验,开始提高团队的工作效率。这一免费级别包括所有受支持内容源的连接器、访问自定义 API 以创建个人连接器的权限、群组和用户管理功能,以及新式搜索用户体验的构建工具。

Workplace Search 可供免费使用,订阅白金版或企业版可获得额外功能。Workplace Search 可在 Elastic Cloud 上使用,也可通过 Elastic Stack 在自有基础设施上部署为自管选项。

通过 Kibana 查看 Elastic 企业搜索

作为进入 Elastic Stack 的窗口,Kibana 允许用户从任意来源获取任意格式的数据,并对这些数据进行实时搜索、分析和可视化。Elastic 企业搜索现已在 Kibana 中提供,让用户能够通过熟悉的界面,轻松导航到 App Search 和 Workplace Search。通过新版本,Kibana 管理员可以自定义空间,以在导航主菜单中显示或隐藏 Elastic 企业搜索。在此版本中,App Search 用户可从 Kibana 访问他们所有的引擎和元引擎,而 Workplace Search 用户可访问用户管理和内容源同步工具作业。

通过 Workplace Search 中的 Gmail 支持来增强电子邮件搜索功能

电子邮件是业务沟通的中枢。随着时间推移,我们大部分的日常洞察信息会孤立地散布在各个电子邮件档案中。在 7.9 版本中,Workplace Search 支持将 Gmail 作为连接器。每位 Gmail 用户都可以轻松使用简洁直观的 Workplace Search 用户界面在自己的电子邮件中进行搜索,并同时查看相关结果以及所有其他内容源。

                                   在 Elastic 企业搜索 7.9 中,Workplace Search 支持将 Gmail 作为连接器

让扩展部署变得更可控、更趋自动化,同时可从源活动日志中获得新洞察

Elastic 企业搜索以 Elastic Stack 为基础而构建,因此可根据用户需求,将强大的功能引入到 App Search 和 Workplace Search 中。在 7.9 版本中,App Search 和 Workplace Search 承继了 Elastic Stack 的索引生命周期管理 (ILM) 策略。用户可以根据需求配置 ILM 策略,自动管理索引(引擎)。例如:达到预定大小之后即创建新的索引;每天、每周或每月创建或归档索引;以及根据数据保留规则删除索引。直接在 App Search 内创建和管理 ILM 策略。

在 Elastic 企业搜索 7.9 博客中了解 Elastic 企业搜索所有新功能的最新消息。 

提供一键采集数据的统一代理

Elastic Agent 和 Ingest Manager 大幅简化了采集数据来提高可观测性的工作

在可观测性工作流中,上载数据是关键步骤,但通常既耗时又乏味。我们从决定监测系统到实际监测系统的速度有多快?检测系统有多容易?收集到的数据是否经过了解析和结构化,可以直接使用?我们如何快速实现数据可视化,并从数据中获取关键洞察信息?有了这些问题,再加上技术堆栈中的数千个组件(服务器、虚拟机、容器、应用程序、数据库、中间件等),就让操作性变得至关重要。 

我们很高兴能在 7.9 版本中推出几个新的采集功能,大大简化了数据上载和采集的管理工作流程。我们这一举措的目标是简化整个采集流程,使运营商有可以花更多时间根据获得的灵感采取行动,减少设置和管理采集流程的时间。在 7.9 公测版中,Elastic Agent 按照统一的方式从主机收集各种数据,包括日志、指标和终端安全数据,未来计划增加 APM 数据和其他数据类型。采用单一代理进行安装、配置、更新和维护,可大幅提升运营商的效率。7.9 公测版还具有采集管理器,可从集中位置控制采集流程的方方面面。添加和管理主流服务和平台的集成:我们计划在接下来的几个版本中移植全部 100 多个 Beats 模块。最后,您可以使用 Fleet(所有已部署代理的控制塔)集中管理您的所有代理。典型企业通常会在数以万计的主机上部署代理,而 Fleet 可以让运营商轻松地从一个位置管理这些分散的代理。 

 

                                           借助 Elastic 7.9 中的 Elastic Agent 和 Ingest Manager,简化数据采集

用统一的可观测性概述页面提升分析师的操作体验

Elastic 可观测性的不同之处在于,在数据层统一了可观测性的三大数据支柱,即日志、指标和跟踪信息。将所有数据放在单一数据存储中,对于支持在数据流之间无缝移动以缩短平均解析时间的调查工作流而言至关重要。 

在此统一的数据基础上,我们在 Kibana 中推出一个新的可观测性概述页面,将统一扩展到了可视化层,对此我们十分振奋。概述页面囊括您所有可观测性数据(日志、指标、APM、正常运行时间)中的关键信息,并能通过视图一目了然展示整个生态系统的运行状况。这种现成的视图有助于您更快地获得洞察,对于新用户或新部署尤其如此。概述页面包括新闻摘要,让您随时了解产品更新和新闻。 

接受开放标准,在 Elastic APM 中集成 OpenTelemetry 

从开放代码到开放社区,开放和透明是 Elastic 的基础。这种思维模式的扩展,使我们同样支持可观测性领域的开放标准,诸如 OpenTracing、Jaeger 和 W3C Trace-Context。我们很高兴将最近形成的 OpenTelemetry 标准加入到其中。OpenTelemetry 是云原生计算基金会 (CNCF) 沙盒项目,目前为公测版,它提供了厂商中立的特定语言代理 SDK 和 API,用于从受监测的应用程序中收集分散式追溯信息、指标和日志数据。我们添加了 Elastic APM 导出器(并将其贡献给 OpenTelemetry 收集器 contrib repo),它使用 OpenTelemetry 收集器收集跟踪信息数据,将这些数据转译成 Elastic 兼容协议,并将其发送到 Elastic APM。这意味着您可以使用 Elastic APM 浏览 OpenTelemetry,而无需对设备进行任何更改。只需将 Elastic 导出器(当前为公测版)添加到 OpenTelemetry 设置中,就可以快速浏览您的数据。

通过 50 多条交钥匙检测规则,加强 DevOps 和 SecOps 之间的联系 

何不在观测的同时进行保护?可观测性团队收集的来自应用程序和基础设施的日志、指标和跟踪信息是安全团队的丰富信息来源。将 Elastic 安全和 Elastic 可观测性置于同一 Elasticsearch 数据的好处是,可以对同一数据提出不同的问题,而不会在不同的工具中重复。Elastic 满足了 SecOps 和 DevOps 团队的需求,促进了协作。我们采用统一的按资源使用量的定价模式,在同一数据中添加不同的镜头不会产生额外成本。 

在 7.9 版本中,我们进一步加强了 Elastic 安全和 Elastic 可观测性之间的联系,推出了 50 多条交钥匙检测规则(公测版),让 DevOps 团队和安全分析师都能快速从数百个服务和系统中获得洞察信息,无需额外作业或成本。当然,通过灵活的检测引擎,您也可以创建额外的规则来适应个人环境。

欢迎阅读 Elastic 可观测性 7.9 博客,深入挖掘所有新功能。 

推出一键式 Endpoint Security 的免费分发级别,内置于 Elastic 安全中

依赖集成式恶意软件预防功能,阻止针对终端的攻击

我们很兴奋地宣布推出免费的恶意软件预防功能(公测版),在我们打造全面集成的终端安全的过程中,这可谓首个重大里程碑,该功能直接内置到 Elastic 安全中,进一步强化了我们为世界各地公司/组织的安全保驾护航的使命。Elastic 利用 AV-Comparatives 最近验证的无签名方法,能阻止来自 Windows 和 macOS 主机的恶意软件,并利用 MITRE ATT&CK® 校准规则检测针对 Windows、macOS 和 Linux 主机的威胁。

                                                                Elastic 安全 7.9 版本中集成主机保护机制的可视化

改善您的云安全状况

我们的安全研究团队已增加了用于监测云基础设施的预置保护机制并采用身份和访问管理技术。这些预置的机器学习作业(正式版)和威胁检测规则(公测版)让客户能够检测到针对云基础设施和应用程序的攻击,并且它们与 ATT&CK® Matrix 保持一致。

通过社区驱动型工作流强化功能,统一进行预防、检测和响应

Elastic 安全 7.9 版本提供了多项工作流强化功能,使分析师能够高效地对攻击进行分流、追踪、调查和响应。新的内置调查指南帮助分析师了解在打开特定类型的警报时要询问哪些问题,而可自定义的时间线模板则优化了数据展示,以便更快获得洞察。

用于为检测和终端规则添加异常状况的高效工作流有助于消除与最大程度减少误报相关的开销。而与 IBM Resilient 的新集成则简化了安全团队内外部的事件响应工作流。

通过扩展数据集成来简化数据采集

7.9 版本引入了对许多新主机和云数据源的支持,包括 Microsoft Defender ATP、Windows PowerShell 和 Google G Suite。这些集成支持安全操作、DevSecOps 和其他常见用例。我们还引入了对 20 多种常见网络和应用安全技术的支持。

欢迎查阅 Elastic Security 7.9 blog 了解全部详情。 

在 Kibana 中引入即时页面加载

在 Kibana 中提供即时页面加载,实现更快的导航和更自然的工作流 

18 个多月来,我们一直在改善 Kibana 的核心引擎。在 7.9 版本中,我们已经完成了这项工作,并迁移了 Kibana 的所有底层架构。直接的好处就是 Kibana 的导航速度会大幅提升。从 APM 到 Dashboard,再到 Maps、SIEM,现在,您可以获得流畅的即时体验,无论是支持任务关键型系统、防范安全威胁,还是建立数据分析。除了改善用户体验,新的架构对 Kibana 开发社区作出了很大改进,能够更快地产生功能,效率更高,进而可以产生质量更高的代码。 

使用 Elastic Agent 简化数据采集

Beats 轻量级数据采集器便于将数据载入 Elasticsearch 中,以此为基础,我们在 7.9 公测版中推出了“一个 Beat 支配一切”的新 Elastic Agent。用户现在无需在一台主机上安装多个 Beat,只需安装一个 Elastic Agent 即可,它汇集了指标收集、日志记录、恶意软件预防等功能的必要组件。更佳的是,用户可以通过名为 Fleet 的新功能集中管理成千上万的代理。我们将这些增强功能安装在了 Kibana 的新 Ingest Manager 中。无论是监测云基础设施还是配置数千个终端,我们都希望这些新功能可以使设置更快,稳态操作更简单,而这只是我们相关程序的起点。

使用新的通配符数据类型增强搜索功能

有时,您对自己想要搜索的内容只是一知半解。特别是在同时涉及可观测性和安全性的用例中,通配符运算符提供了更强大的搜索功能。日志通常包含没有空格的长字符串,由标准的重复部分和变化的信息(如名称、持续时间、IP 地址等)组成。输入通配符数据类型。为了能够高效搜索此类字符串,提高性能,降低索引量,我们将其拆分为三个字母标记,并应用同样的技术进行查询。通过这种方法可在不影响性能的前提下,在搜索中引入通配符和 regex 支持。使用通配符运算符的目的是大幅缩短查找时间,安全分析师使用 Elastic 安全解决方案查找威胁时,通配符数据类型特别重要。

在 Elasticsearch 中提供事件查询语言 (EQL) 的预览

多年以来,用户一直寻求向 Elastic 引入相关性查询语言,用以支持查找威胁和安全检测的用例。去年年底,我们与 Endgame 合作,获得了事件查询语言 (EQL),这是一种强大的、经过实战检验的语言。多年来 Endgame 解决方案一直将其用于阻止终端威胁,效果颇佳。在 7.9 版本中,我们很高兴让 EQL 第一次公开亮相,EQL 是 Elasticsearch 中一流的查询语言,是一个实验性的功能。我们这次将它作为 API,在 Elasticsearch 中发布,未来计划在 Elastic 安全和 Kibana 中为 EQL 加入强大的 UI。希望得到您的反馈和创见,EQL 是为安全性而设计的,但我们希望它能为 Elasticsearch 开创许多新的使用方法。 

如欲详细了解这些功能及其他内容,请参阅 Kibana 7.9 博客和 Elasticsearch 7.9 博客

通过支持 AWS PrivateLink,增强 Elastic Cloud 的安全性

增强安全性和合规性,支持 AWS PrivateLink、IP 过滤、支持 Google 证书和 FedRAMP 授权 

我们还启动了对 AWS PrivateLink 的支持,它可以为 AWS 虚拟私有云 (VPC) 和 Elastic Cloud 提供私用网络连接性。我们还启动了对跨公共云提供商 IP 过滤的支持,使您能够根据 IP 地址、地址块或范围,对 Elastic Cloud 部署的网络访问进行规定。我们还增加了对 Google 帐户的支持,如此您就可以使用现有的 Google 帐户凭据注册 Elastic Cloud。只需点击几下,您就可以使用 Google 身份信息来访问 Elastic Cloud 帐户,无需维护单独的凭据。 

                                                   配置流量筛选器:Elastic Cloud 上的 PrivateLink 终端

此外,Elastic Cloud AWS GovCloud 美国东部区域被指定获得 FedRAMP Moderate 授权。联邦政府、州政府和地方政府用户,以及高等教育机构和拥有政府数据的用户,立即免费试用!

支持更灵活的购买方式,可开通自助式月度白金级订阅和新区域

您现在可以直接在 Elastic Cloud 控制台内购买月度订阅黄金级订阅或白金级订阅。只需点击几下,就可以获得支持 SLA 和 Elastic Stack 的独家功能,包括我们面向企业搜索、可观测性和安全的解决方案。我们还为多个云服务提供商增加了更多区域,方便您在更多地点访问 Elastic Cloud,包括加拿大中部、巴黎和首尔。我们的 AWS GovCloud 区域现在也已正式投入使用。

通过就地配置变更和新的 AWS 实例类型提高服务性能

就地配置变更可以实现更快、更可靠的配置更新。其速度和可靠性来自于就地应用对集群的变更(如设置、升级和调整大小),随后是对节点进行滚动重启,避免了耗时较长的运行数据迁移操作。我们还在 Elastic Cloud 上所有受支持的 AWS 区域启动了对 Amazon EC2 M5d 通用型和 R5d 内存优化型实例的支持。M5d 实例提供了计算、内存和网络资源的平衡,而 R5d 实例是为了在内存中处理大型数据集时提高速度性能而设计的。 

使用 Elastic Cloud Enterprise 2.6 和 Kubernetes 1.2 上的 Elastic Cloud 时,支持新的自管型功能

我们非常荣幸地宣布 Elastic Cloud Enterprise 2.6 版正式发布。Elastic Cloud Enterprise 客户可以使用 Elastic 用来运行 Elastic Cloud 的相同功能,集中编排一系列 Elasticsearch 集群。随着 2.6 版本的发布,Elastic Cloud Enterprise 增加了对 Elastic Cloud Control (ecctl) CLI 的支持,对统一的新 Elastic 企业搜索的管理,包括对新 Workplace Search 功能的支持,以及就地配置变更。

我们同样荣幸地宣布 Kubernetes 1.2 上的 Elastic Cloud 正式发布。Kubernetes 上的 Elastic Cloud 简化了在 Kubernetes 中运行 Elasticsearch 和 Kibana 的作业,包括设置、升级、快照、扩展、高可用性、安全性等。通过新的 1.2 版本可轻松部署和编排 Elastic 企业搜索,只需几行 YAML 配置就可启动 App Search 或 Workplace Search 的实例,并将其连接到 Elasticsearch 集群。通过 1.2 版本还可采用新的 Beats Custom Resource Definition (CRD),使用 ECK 部署和管理 Filebeat、Metricbeat、Auditbeat 等数据采集器。 

若要详细了解 Elastic Cloud 的全部新闻,欢迎查看 Elastic Cloud 新功能博客

篇幅有限,不胜枚举…

更多功能,敬请关注。请查看各解决方案及产品的博文,详细了解我们在 7.9 版本中添加的所有新功能: 

Elastic 解决方案

Elastic Stack

Elastic Cloud