Elastic presenteert EASE, een serverless security-oplossing die AI inzet om bestaande SIEM- en EDR-tools te verrijken. Het platform moet analisten helpen om complexe cyberaanvallen sneller te herkennen door alerts automatisch te correleren en contextuele informatie toe te voegen.
Volgens Santosh Krishnan, general manager Observability & Security bij Elastic, zijn SOC-analisten overweldigd door grote hoeveelheden alerts en missen ze AI-ondersteuning van hun bestaande tools. EASE moet deze problemen aanpakken zonder dat teams hun vertrouwde omgeving hoeven te verlaten.
De oplossing bevat dashboards die tijd besparen, detectieverbeteringen en rendement meetbaar maken. Dit helpt securityteams de business value van hun activiteiten aan te tonen.
AI-gedreven aanpak voor bestaande tooling
De Elastic AI SOC Engine (EASE) integreert al met bestaande securitytools zoals Splunk, Microsoft Sentinel en CrowdStrike. Gebruikers hoeven hun huidige infrastructuur dus niet volledig te vervangen. De oplossing importeert alerts via agentless-integraties en past vervolgens AI-analyse toe.
De kern van EASE is Elastic’s zogeheten Attack Discovery-technologie, waarmee het alerts correleert en prioriteert. Tegelijkertijd biedt een AI Assistant natuurlijke taalzoekopdrachten en kan het gegevens uit interne bronnen zoals Jira, GitHub en SharePoint toevoegen aan het onderzoek.
Transparantie bij AI-keuzes
Elastic laat weten dat gebruikers kunnen kiezen uit verschillende LLM’s, waaronder eigen modellen of een door Elastic beheerd model. Alle AI-responses worden opgenomen, zodat duidelijk is op welke data de conclusies gebaseerd zijn. Queries, antwoorden en tokengebruik worden volledig gelogd.
IDC-onderzoeker Michelle Abraham, geciteerd bij de presentatie van de nieuwe oplossing, ziet alvast de waarde van deze aanpak. “Elastic pakt een veelvoorkomende uitdaging aan: hoe breng je open en transparante AI in het SOC zonder vanaf nul te beginnen?”
Marktpositie te midden van concurrentie
Met EASE probeert Elastic net als andere partijen SOC’s van hun overvloed aan informatiestromen te helpen. Simpel gezegd draait het hierbij om datamanagement vanuit allerlei locaties. De vraag is of alle data uiteindelijk nodig is om tot eenduidige signalen te komen. Hoe dan ook is enige vorm van trechtering nodig, waarbij Elastic voor een AI-optie gaat. Concurrenten zoals Vectra AI introduceren eveneens AI-agents om deze alert-vermoeidheid tegen te gaan.
De serverless implementatie via Elastic Cloud moet er in ieder geval voor zorgen dat organisaties snel kunnen starten met de nieuwe mogelijkheden. Teams kunnen geleidelijk migreren naar Elastic Security voor hun AI-gedreven securityplatform. De lancering van EASE volgt op eerder werk dit jaar vanuit Elastic aan AIOps-capabilities, wederom met het doel om alerts in aantallen te reduceren en in betekenis te laten toenemen.