你以为Elastic只做SIEM?再想想!
Elastic扩展安全(Elastic Extended Security)源于对Endgame的收购,将经过实战检验的EDR和威胁防御专长直接融入Elastic的Search AI平台。这不是一个附加组件或第三方集成,而是一个原生的、深度嵌入的组件,重新定义了XDR的可能性。
随着数据量呈指数级增长,传统的EDR工具会遇到瓶颈。但Elastic不会。只有Elastic能够交付真正的XDR:以搜索速度原生关联端点、网络、用户和云遥测数据,横跨PB级数据,且全部在一个统一的平台内完成。
但Elastic走得更远:
- 内置一流端点安全:我们的代理程序保护Windows、macOS和Linux系统,具备最初由Endgame开创并已演进为可应对现代威胁的可扩展平台的获奖防御和检测能力。开箱即用,提供高级恶意软件、行为、内存和勒索软件防御。
- 混合端点,应对现实世界:大多数企业依赖多个端点供应商,Elastic能适应当前环境。Elastic Security的供应商无关平台,可以将来自第三方EDR工具的数据与Elastic扩展安全自己的端点代理无缝地协同工作,全部集成在统一的检测与响应工作流中。没有数据孤岛,无需切换工具。
- 无限部署模式:使用Elastic,每位用户都可获得无限数量的代理。在事件期间扩展规模,在并购期间广泛部署,在数千台机器上构建弹性基线——无需担心隐藏的按端点计费。Elastic提供了一个任务就绪的平台,既能保护当今的基础设施,也能扩展以应对未来的复杂性。这才是XDR应有的样子:灵活、强大且统一。
无按端点费用。无限制。无妥协。
在Elastic,我们不主张用基于端点数量的限制性许可来束缚你,也不强迫你为每一项额外功能支付费用。当其他厂商对每个模块和设备收费时,Elastic在一个统一的平台上为你提供SIEM、端点安全和XDR。在Elastic,你只需为你使用的数据付费。端点保护已包含在该平台中——你只需部署Elastic Defend集成即可启用它——并且你仅需为收集和保留的遥测数据付费,价格如同数据湖一样高效。我们的供应商无关模型允许你从任何EDR供应商摄取和运用数据,实现统一可见性,既无供应商锁定,也无额外成本。保护你需要的内容,按你想要的方式扩展。无限制,无意外费用。只有为你构建的强大、统一的安全解决方案。
真正的XDR,不仅仅是流行词:跨环境的统一检测与响应
Elastic在大多数供应商甚至还没意识到问题之前,就解决了XDR最棘手的问题:以实时速度和高级分析能力,在您的整个环境(无论是本地、跨多云还是全球分布式)中扩展到海量数据规模。15多年来,我们在大规模运用安全数据方面一直处于领先地位——这是许多EDR供应商仍在争相摸索的领域。当其他厂商受困于数据限制、查询缓慢和检测孤岛时,Elastic提供真正的、统一的跨端点、云、网络和第三方数据的检测与响应,毫无妥协。
现代攻击很少局限于单一系统——你的防御也不应如此。Elastic Security将SIEM和EDR能力整合到一个可扩展的平台中,为安全团队提供跨端点、云工作负载、网络和用户活动的全面、关联的可见性。这种集成方法使分析师能够快速、精确地检测、调查和响应多阶段的横向移动威胁。通过数百个开箱即用的集成,将端点遥测与更广泛的安全数据相关联,Elastic实现了真正的XDR成果:更快地检测复杂攻击模式,减少调查时间,以及更高效、精简的安全运营。使用Elastic,你可以打破数据孤岛,重新控制你的安全数据,并利用团队果断行动所需的上下文信息,领先于高级威胁。
通过更智能的分析师工作流加速安全响应
在当今快节奏的威胁环境中,速度和精确性至关重要。Elastic Security通过强大的、以分析师为中心的功能,为您的团队应用AI,旨在减少噪音并加速响应。攻击发现(Attack Discovery)通过实时分析检测结果和端点遥测,自动呈现高风险攻击路径和可疑行为——无需手动切换工具或进行威胁狩猎。配合Elastic AI助手,分析师可以即时总结事件,获取上下文解释,并接收针对每次调查量身定制的指导性下一步操作。自动导入(Automatic Import)简化了自定义数据的接入和规范化,使分析师无论数据源如何,都能获得即时可见性和上下文信息。
触手可及的AI驱动修复
端点安全至关重要,但它有时会引入系统 slowdowns 或冲突,影响性能。手动排查这些问题复杂且耗时,常常延迟安全工具的部署,并在您的环境中造成关键的可见性缺口。
Elastic的自动故障排除(Automatic Troubleshooting)使用AI自动识别导致端点性能问题并拖慢用户速度的第三方防病毒和安全软件。我们甚至帮助你解决这些冲突,提供快速的一键式排除。
这为安全团队提供了快速、清晰的洞察和解决性能问题的指导步骤——帮助你在保持强大安全性的同时,不牺牲端点性能或用户体验。
Elastic扩展安全如何保护我的端点?
Elastic Defend是Elastic内的端点保护集成,提供实时的防御、检测和响应能力。它保护系统免受广泛的威胁——包括恶意软件、勒索软件、无文件攻击以及像进程注入和凭证转储这样的 adversary 技术——同时持续监控主机和进程级别的恶意行为。在本节中,我们将深入探讨Elastic Defend如何检测、阻止和响应这些攻击类型以维护端点安全。
恶意软件
Elastic扩展安全通过使用多层防御,帮助保护您的Windows、macOS和Linux设备免受恶意软件侵害。它在文件保存或运行时进行扫描,在恶意软件造成危害之前将其捕获。使用智能检测方法,如YARA签名和威胁情报查询,它可以快速发现威胁。在Windows和macOS上,Elastic扩展安全还使用基于机器学习的风险评分模型(称为MalwareScore),帮助优先处理最危险的威胁。此外,它允许你阻止不需要的程序,隔离可疑文件,甚至在需要时恢复它们。在Windows上,它更进一步,提供自修复和驱动程序保护等功能,确保系统平稳安全地运行。这些工具协同工作,在后台静默运行,保护你的端点安全,同时不影响速度。
勒索软件
在勒索软件方面,Elastic扩展安全主要为Windows端点提供强有力的保护。它既监控表明勒索软件活动的可疑行为,也使用“诱饵文件”——专门设计的诱饵文件,用于检测勒索软件何时试图加密数据。Elastic扩展安全还可以保护主引导记录(MBR),勒索软件经常以MBR为目标来锁定你的系统。如果检测到勒索软件,Elastic扩展安全可以自动终止恶意进程,从而阻止攻击。
无文件攻击
无文件攻击是一种不依赖下载恶意文件的网络攻击——相反,它直接在设备内存中运行恶意代码,使其更难被传统安全工具检测到。Elastic扩展安全有助于保护您的Windows、macOS和Linux设备免受这些棘手的内存型和无文件攻击。它使用YARA扫描来发现所有平台上的可疑代码模式。在Windows上,Elastic扩展安全还实时监控内存威胁系统行为,识别可疑的进程活动、内存注入技术以及其他无文件攻击的指标。如果检测到威胁,Elastic扩展安全可以立即终止恶意进程以阻止攻击。在Windows上,它还包括自修复功能,可以自动修复受影响的系统部分。这种多层方法有助于保护您的端点免受试图隐蔽行动的 stealthy 攻击。
恶意行为
恶意行为保护侧重于发现设备上的有害行为,而不仅仅是已知的恶意软件文件。Elastic扩展安全监控Linux、macOS和Windows上的可疑行为,使用强大的检测方法实时识别威胁。它寻找各种恶意活动,如未经授权的权限提升、可疑的进程派生、异常的网络连接或试图禁用安全工具的行为。当检测到这些行为时,Elastic扩展安全可以终止有害进程——甚至整个进程树——以阻止攻击扩散。通过关注攻击者的行为而非他们的表象,Elastic扩展安全有助于在 stealthy 威胁造成损害之前捕获它们,确保端点安全。
事件收集
Elastic扩展安全选择性地收集系统活动数据,以尽可能多地检测和防御威胁,同时精心平衡存储使用和系统性能。根据设计,Elastic扩展安全侧重于收集与安全相关的活动,而不是所有系统事件的完整记录。它生成的事件数据可能会根据需要进行聚合、截断或去重,以优化有效的威胁检测和防御。最近对我们默认设置的更新已将事件量减少了高达68%,帮助你降低数据存储成本并提高系统性能。
深入挖掘:无数据限制地调查威胁
在安全调查中,速度和上下文至关重要——这意味着在你需要时,能够即时访问所有数据。Elastic Security旨在大规模处理安全遥测数据,因此你可以毫无妥协地保留、搜索和分析海量数据。
借助可搜索快照和灵活的数据分层,Elastic让你可以保留数月或数年的端点、云和基础设施数据并可搜索——而不会超出预算。不再需要在保留和性能之间做出选择。
结合时间轴(Timeline)、会话视图(Session View)和交互式进程分析器等强大的调查工具,分析师可以快速追踪事件,在相关活动之间切换视角,并揭示事件的全貌。结果是:更快的调查,更深入的洞察,以及基于完整、可靠数据做出的决策。得益于我们与供应商无关的方法,无论遥测数据来自Elastic、第三方EDR还是两者的混合,这些调查工作流都能无缝工作,确保调查保持高效和全面。
开放透明的安全
在Elastic,我们知道SOC分析师依赖透明度和信任来应对不断演变的威胁。这就是为什么我们将我们的防护制品库(protections-artifacts repository)完全开放,共享Elastic端点安全背后的精确检测逻辑——包括针对Windows、macOS和Linux的YARA签名和规则。这种可见性级别让你了解底层运行机制,根据自身环境定制检测,并与社区合作以增强防护。
开放性不仅仅是共享代码——它是为了赋能你领先于攻击者并确保组织安全。Elastic还运行一个公共的漏洞赏金计划,涵盖EDR行为检测规则,奖励那些发现绕过检测方法的研究人员。这有助于安全团队加强Elastic扩展安全的防护能力,并跟上不断演变的攻击技术。
Elastic安全实验室:开放研究,更强防御
Elastic扩展安全不仅仅由技术驱动——它还得到了Elastic安全实验室专业知识的加持。我们专门的威胁研究团队持续追踪最新的 adversary 行为、恶意软件活动和端点攻击技术,将这些见解转化为Elastic扩展安全用户可操作的防护措施。从新的检测规则和机器学习模型到高级防御能力,安全实验室确保Elastic扩展安全始终领先于不断演变的威胁。通过积极地向更广泛的安全社区贡献开放检测、研究报告和恶意软件分析,Elastic安全实验室强化了全球客户的防御能力。
通过响应行动阻止威胁
在SOC中,很少有事情能像一条可能表明活跃威胁的端点警报那样带来巨大压力。Elastic扩展安全为分析师配备了一套强大的响应行动,以在威胁升级前快速遏制和消除端点威胁。直接从Elastic Security UI,分析师可以隔离主机、终止恶意进程,并收集关键取证工件,如内存转储或文件元数据。这些行动可以远程大规模执行,帮助团队减少驻留时间并阻止攻击。由Elastic基于代理的架构驱动,响应行动快速可靠,并在各种环境中有效工作——赋予SOC团队在最关键时刻所需的信心和控制力。
此外,Elastic真正与供应商无关的方法,支持跨第三方平台(如某机构、某机构端点安全解决方案和某机构)的无缝响应编排,使SOC团队能够直接从Elastic Security执行遏制和补救。
Elastic扩展安全防护到底有多好?
我们认为Elastic扩展安全是业内最好的防护引擎之一——但不要只相信我们的话。独立的第三方测试持续验证了我们端点安全能力的强大。
在最新的AV-Comparatives商业安全测试(2025年4月至5月)中,Elastic扩展安全针对200多个高级攻击场景和1000多个真实世界的恶意软件样本实现了100%的防护率。这是在业内最严格的评估之一中取得的顶尖性能。
这还没完。Elastic扩展安全还因其密集的真实世界恶意软件和误报测试,获得了VB100的A级认证。
这些结果印证了我们的客户已经体验到的:Elastic扩展安全始终如一地提供可靠、高保真的防护,抵御当今最复杂的威胁——同时作为Elastic安全平台的一部分,保持轻量级且易于管理。
开始使用Elastic Security
加入越来越多信任Elastic Security来保护其组织免受攻击的企业行列。体验知道您的端点(以及整个组织)免受最新威胁所带来的安心。开始您的Elastic Security免费试用,发现我们的防护所能带来的不同。访问 elastic.co/security 了解更多信息并开始使用。FINISHED
