作者：来自  Elastic Mark Settle, Tamarian Del Conte, James Spiteri, Tinsae Erkailo, Charles Davison, Raquel Tabuyo, Kseniia Ignatovych, Paul Ewing, Smriti

检测规则的自动迁移、用于 ES|QL 的 Lookup Join、AI 功能增强，以及更多功能。

Elastic Security 8.18 和 9.0 带来了帮助安全运营团队更高效工作、快速响应威胁的更新。此版本包括为 Splunk SIEM 用户提供的迁移支持、新的 ES|QL Lookup Join 功能，简化数据丰富和分析，以及多个可用性改进。攻击发现和自动导入现在已正式发布（GA），并且对 Elastic AI Assistant 的改进以及对自定义检测规则的支持也已加入。

Elastic Security 端点功能现在包括与 Microsoft Defender 和 CrowdStrike 的自动化响应集成，以及通过机器学习进行主机流量异常检测。这些新增功能有助于减少手动工作量，加速调查，并增强端点可见性和响应能力。

简化从传统 SIEM 迁移到 Elastic Security

迁移到新的 SIEM 可能会使一些团队陷入使用过时解决方案的困境，从而减缓检测、调查和响应的速度。Elastic Security 8.18 和 9.0 中的新功能自动迁移，加速了你向现代 SIEM 的过渡。

我们首次发布的自动迁移，目前在技术预览阶段，提供了一个 AI 驱动的工作流程，用于将传统 SIEM 检测规则迁移到 Elastic Security。我们首次支持 Splunk，包括多租户环境，并计划尽快扩展到其他传统 SIEM。还计划支持其他类型的 SIEM 内容，如仪表盘和可视化。

自动迁移加速了将传统 SIEM 内容迁移到 Elastic Security 的过程，从现有的检测规则开始。它将某些规则映射到 Elastic Security Labs 主动维护的预构建检测，并将许多其他规则（包括相关的查找和宏）转换为在 Elastic 中运行。

该 AI 驱动的功能验证转换后的规则，确保它们按预期运行，并在缺少所需数据源时推荐相关集成。为了高效审查，它将原始规则和转换后的规则并排呈现。当需要进一步更新时，Elastic AI Assistant 引导实践者采取最佳后续行动。

通过 ES|QL 中的连接功能进行临时数据丰富

此版本引入了 Elasticsearch 查询语言（ES|QL）中的 Lookup Join 支持 —— 这是一个备受需求的功能，显著增强了 Elastic Security 中的数据关联工作流。凭借这一新功能，实践者现在可以在查询中动态增强分析，使用 Lookup Join 功能。

与需要预配置策略和策略执行的数据丰富工作流不同，ES|QL Lookup Join 允许用户动态地跨数据集进行关联。无论是匹配资产元数据、用户属性、威胁情报，还是业务上下文，现在都更容易将相关上下文纳入调查。

让我们看看一个实际的安全用例。在警报甄别过程中，分析人员经常会问：“这个警报是否包含威胁源中标记的 IOCs？关于主机或用户实体是否有更多信息？我是否能通过组织特定的数据了解更多关于这个警报的内容？”所有这些问题通常意味着分析人员在另一个索引中寻找更多信息，这是一个经典的 Join 用例。现在，你可以做到这一点！

在下面的视频中，你可以看到用户如何查询警报中的属性（例如文件名），然后与其他数据存储（如威胁源）进行比较，并将这些信息返回到最终结果中！

Elastic Security 继续引领 AI 和 SIEM 的发展

攻击发现和自动导入现在已正式发布（GA），并且在 Elastic Security 的 AI 功能上进行了增强：

• 攻击发现（Attack Discovery）全面评估传入的警报，揭示正在发展的攻击并指导分析人员阻止它们。通过对警报过滤和自定义日期范围的支持，你可以完全控制分析的内容，帮助 Elastic 提取出重要的信息。
• 自动导入（Automatic Import）可以在几分钟内构建自定义数据集成 —— 现在它还可以构建从任何 REST API 获取数据所需的配置。只需上传 OpenAPI 规范，让自动导入处理其余部分，确保数据以最小的努力实现无缝导入。
• Elastic AI Assistant现在会在其响应中引用来源，因此你可以看到信息的来源。它还引入了一个 API 来管理知识来源，并改进了审计日志记录。这些更新反映了我们对可解释 AI 的持续关注，确保助手既有帮助又具可追溯性。

在不丢失自定义更改的情况下更新 Elastic 构建的规则

Elastic 包括了由 Elastic Security Labs 构建和维护的 1,300 多条检测规则。组织有时会根据特定需求调整这些规则（例如，调整条件、添加标签）。从 8.18 版本开始，你可以应用规则更新而不覆盖自定义更改。

仅去年，Elastic Security Labs 就改进了现有规则超过 2,400 次。通过这种规则管理增强功能，已经进行过修改的组织可以继续受益于这些更新，而无需手动重新应用自定义内容。这使得随着时间推移，定制和维护预构建检测规则变得更加容易，简化了检测工程工作流，并帮助团队用更少的努力扩展到更多的用例。

通过自动故障排除消除冲突

在已有杀毒软件或 EDR 工具的环境中部署端点保护可能会导致软件冲突。一个新的 AI 驱动的故障排除工作流程（从 Elastic Agent 开始）有助于避免这些问题，确保 Defend 集成不会干扰主机上的其他软件。

由生成式 AI 驱动的自动故障排除功能可以检测已安装的安全工具，并指导你将其添加为受信应用程序。这个任务过去需要通过系统数据进行深入挖掘并手动配置所有内容。现在，它变得更快、更容易、更可靠，让你可以放心地部署，并保持保护运行而不会中断。

从 Elastic Security 执行第三方端点响应操作

Elastic 继续发展成为一个统一的、供应商无关的平台，用于端点分析 —— 为分析人员提供一个集成的解决方案，以便在任何环境中进行检测、调查和响应。基于在 Elastic Defend 中采取响应操作的能力，分析人员现在可以直接对由 CrowdStrike Falcon、Microsoft Defender for Endpoint 和 SentinelOne 保护的主机采取行动 —— 无需离开 Elastic 界面。

这包括隔离或释放主机、收集文件、运行脚本（CrowdStrike）、列出或终止进程（SentinelOne），所有操作都在平台之间进行实时同步。这些双向集成简化了响应工作流，减少了上下文切换，使得跨不同端点部署执行一致的、经过充分考虑的操作变得更加容易 —— 一切都可以在单一的集中工作区中完成。

无需安装的集成

Elastic 在 8.16 版本中首次推出了无需安装的数据集成，简化了云安全态势管理。在此版本中，我们将无代理支持（公开测试版）扩展到 15 种广泛使用的集成，包括 CrowdStrike、Google Workspace、Microsoft 365 Defender、Okta、Qualys VMDR、SentinelOne 等。

这些集成使得将有价值的安全和 IT 数据导入 Elastic 变得更加容易，无需安装代理或管理数据导入基础设施。在集成设置过程中，只需选择无代理选项（agentless option）即可开始流式传输数据。这种更广泛的支持帮助团队加速各种分析用例——从身份和端点可见性到资产清单和基于风险的警报 —— 无需额外的操作开销。

尝试一下

请阅读 Elastic Security 发布说明，了解更多这些功能。

体验 Elastic Security 的最快、最简单方式是在 Elastic Cloud Serverless 上。立即尝试。

本文中所描述的任何功能或功能的发布和时机完全由 Elastic 自行决定。任何当前不可用的功能、支持计划或功能可能无法按时或完全交付，提及这些计划或想法仅反映我们的战略目标和方向。这些计划可能会更新、取消或推迟。

在本文中，我们可能使用或提到第三方生成式 AI 工具，这些工具由各自的所有者拥有和运营。Elastic 无法控制这些第三方工具，我们对其内容、操作或使用不承担任何责任，也不对因使用这些工具而产生的任何损失或损害负责。在使用 AI 工具处理个人、敏感或机密信息时，请谨慎行事。您提交的任何数据可能会用于 AI 训练或其他目的。我们不能保证您提供的信息会被安全或保密地存储。使用任何生成式 AI 工具之前，您应熟悉其隐私政策和使用条款。

Elastic、Elasticsearch 和相关标志是 Elasticsearch N.V. 在美国和其他国家的商标、标识或注册商标。Splunk 和其他相关标志是 Splunk Inc. 在美国和其他国家的商标或注册商标。Microsoft 和其他相关标志是 Microsoft 集团公司 的商标。Crowdstrike 是 Crowdstrike, Inc. 的商标。SentinelOne 是 SentinelOne, Inc. 的注册商标。所有其他公司和产品名称均为各自所有者的商标、标识或注册商标。

原文：New in Elastic Security 8.18 and 9.0: Automatic Migration, ES|QL Lookup Join | Elastic Blog