Varias agencias federales han estado utilizando la plataforma Elasticsearch para cumplir con los requisitos M-21-31 durante el año pasado, adoptando un enfoque unificado que incluye tanto el registro como la respuesta a amenazas. Con base en las experiencias de estas agencias utilizando Elasticsearch para M-21-31, recomendamos las siguientes formas de responder a los desafíos que la GAO señaló en el estudio.

Las agencias federales están aprovechando la accesibilidad y la flexibilidad de Elasticsearch para automatizar tareas que requieren mucho tiempo y democratizar la información sobre los datos. En lugar de contratar más empleados o volver a capacitar a los equipos existentes, las agencias se están beneficiando del enfoque democratizado de Elastic® hacia los conocimientos y las capacidades accesibles integradas en la plataforma Elasticsearch. Algunas de las funcionalidades que ayudan a las agencias a abordar la brecha de habilidades: 

• Vista consolidada de los datos: alinee equipos y roles en torno a conjuntos de datos comunes, proporcionando una vista unificada del rendimiento de la infraestructura y enriquecida con inteligencia sobre amenazas. Este acceso consolidado hace que sea más fácil y rápido consumir y actuar sobre datos e información, sin importar dónde se encuentren.

• Visualizaciones de arrastrar y soltar : analice los datos de registro y de ciberseguridad a través de los paneles visuales e intuitivos de arrastrar y soltar de Elasticsearch . Estos paneles muestran información generada a partir del aprendizaje automático (ML) y las capacidades de IA de Elastic, lo que permite que todos accedan a esta información en tiempo real, en lugar de tener que esperar a un científico de datos con conocimiento o acceso especializado.

• Capacidades de automatización: aproveche el poder del enfoque abierto de Elastic para implementar reglas de detección de seguridad perfeccionadas y compartidas por investigadores de amenazas de Elastic y miembros de la comunidad. Las agencias también están ahorrando tiempo al utilizar análisis centralizados y alertas para descubrir anomalías y amenazas. Aumente aún más las capacidades de su equipo con Elastic AI Assistant , que integra IA generativa para simplificar las tareas y ayudar a los usuarios a encontrar contexto e información para comprender anomalías y amenazas más rápidamente y acelerar la resolución de problemas.

Uno de los obstáculos para el cumplimiento de los registros es no tener acceso a todos los datos de registro. Sin una visibilidad optimizada de todos los tipos y fuentes de datos, la capacidad de identificar con precisión amenazas y patrones es significativamente limitada. Muchas organizaciones enfrentan el desafío de los altos costos que implica administrar y almacenar grandes cantidades de datos de registro dispares. El enfoque de Elastic simplifica la ingesta y el análisis de datos, mientras que nuestros precios basados ​​en recursos brindan a los equipos la flexibilidad de pagar por lo que necesitan.

• Ingesta de datos optimizada: la ingesta de diferentes tipos de datos de diferentes fuentes normalmente requiere múltiples herramientas y procesos (y altos costos). El uso de Elastic Agent para incorporar todos sus registros, métricas y seguimientos puede eliminar la dependencia de integraciones y complementos externos que pueden requerir que ceda el control de datos confidenciales.

• Esquema unificado: para organizar y dar sentido a todos los tipos de datos ingeridos, Elastic utiliza un esquema de código abierto impulsado por la comunidad conocido como Elastic Common Schema o ECS. Esta estructura de datos común unifica todos los modos de análisis disponibles en Elastic, incluida la búsqueda, el desglose y la rotación, la visualización de datos, la detección de anomalías basada en aprendizaje automático, las reglas de detección y las alertas.

M-21-31 pidió a las agencias que compartan datos de registro entre sí, “según sea necesario y apropiado, para acelerar los esfuerzos de respuesta a incidentes”. Tradicionalmente, compartir datos fuera de una agencia presentaba riesgos significativos para los datos que ya eran confidenciales, así como costos potenciales y el tiempo requerido para copiar datos o moverlos a una fuente central. 

Sin embargo, al utilizar Elasticsearch, las agencias pueden compartir datos de forma segura entre agencias, equipos y proyectos. De hecho, las agencias federales probablemente ya estén familiarizadas con los datos de ciberinteligencia proporcionados por CISA; Elasticsearch impulsa el CDM Dashboard de CISA , brindando a CISA visibilidad centralizada de los datos de ciberseguridad de más de 100 agencias cuando es necesario. CISA y otras agencias federales han confiado en Elasticsearch para:

• Enfoque distribuido: con las capacidades de búsqueda y replicación entre clústeres de Elastic , las agencias pueden compartir de forma segura sus datos fuera de su agencia sin moverlos. Además de reducir el riesgo, el tiempo y los costos involucrados con el traslado de datos, este enfoque permite a cada agencia mantener el control de sus datos en su ubicación segura original.

• Controles de privacidad de datos: trabajando de la mano con la búsqueda y replicación entre clústeres, la seguridad del control de acceso basado en roles y atributos (RBAC/ABAC) de Elastic le permite decidir quién en su agencia puede acceder a qué datos, hasta el nivel del documento. Estos permisos de seguridad se aplican localmente, donde residen los datos. Esto le permite crear políticas seguras de acceso a datos dinámicos para ciertos niveles de clasificación y áreas funcionales.

Obtenga más información sobre cómo Elastic puede brindar soporte integrado y rentable para el cumplimiento de M-21-31, desde capacidades de almacenamiento de registros, administración y ciberseguridad dentro de nuestra plataforma unificada impulsada por IA:

• Descargue el documento técnico M-21-31

• Contacta al equipo de Elastic Federal