你以为 Elastic 只做 SIEM？再好好想想！

作者：来自 Elastic Jamie Hynds

Elastic Extended Security 起源于对 Endgame 的收购，将多年经实战检验的 EDR 和威胁防御专长直接引入 Elastic 的 Search AI Platform。这不是外挂功能或第三方集成，而是一个原生、深度嵌入的组件，重新定义了 XDR 的可能性。

随着数据量呈指数级增长，传统的 EDR 工具会遇到瓶颈。但 Elastic 不会。只有 Elastic 能真正实现真正的 XDR：以搜索速度原生关联端点、网络、用户和云端遥测数据，跨越 PB 级数据，全部在一个平台中完成。

但 Elastic 不止于此：

• 内建顶级端点防护：我们的 agent 保护 Windows、macOS 和 Linux，具备最初由 Endgame 首创、并已发展为现代威胁可扩展平台的获奖级预防和检测能力。先进的恶意软件、防行为、防内存攻击和防勒索软件功能开箱即用。
• 混合端点，贴近现实环境：大多数企业依赖多个端点厂商，Elastic 则在他们所在的位置提供支持。Elastic Security 的平台不依赖特定厂商，可无缝运用第三方 EDR 工具的数据与 Elastic Extended Security 自身的端点 agent 结合，实现统一的检测与响应流程。无数据孤岛，无需切换平台。
• 无限部署模式：使用 Elastic，每位用户都可获得无限 agent。事件发生时可灵活扩展；在并购期间可广泛部署；可在成千上万台机器上构建强韧的基线 —— 无任何隐藏的按端点计费。Elastic 提供一套随时可用的平台，既能保护当前基础设施，又能扩展应对未来复杂性。这才是 XDR 应有的样子：灵活、强大、统一。

没有按端点计费。没有限制。没有妥协。

在 Elastic，我们不相信以端点数量限制授权，也不会强迫你为每个额外功能支付额外费用。其他厂商为每个模块和设备收费，而 Elastic 在一个统一的平台上为你提供 SIEM、端点安全和 XDR。在 Elastic，你只需为你使用的数据付费。端点防护包含在平台中 —— 你只需部署 Elastic Defend 集成即可启用 —— 并且你只需按你收集和保留的遥测数据付费，价格高效，类似数据湖定价。我们的厂商无关模型让你可以摄取并运用任何 EDR 厂商的数据，带来统一的可视化体验，无厂商绑定，无额外成本。按需防护，按需扩展。

无上限。无隐藏费用。只为你打造的强大统一安全，不是为厂商利润打造的。

真正的 XDR，不只是一个流行词：在整个环境中实现统一检测与响应

在大多数厂商还未意识到 XDR 最困难的问题时，Elastic 就已经解决了：在整个环境中实现对海量数据的实时处理和高级分析 —— 无论是在本地、多云还是全球分布。15 年来，我们始终引领大规模安全数据运营化之路 —— 这是许多 EDR 厂商至今仍在努力攻克的问题。当其他厂商还在为数据限制、查询迟缓和检测孤岛而苦恼时，Elastic 已经实现了端点、云、网络和第三方数据的真正统一检测与响应 —— 毫无妥协。

现代攻击很少局限于单一系统 —— 你的防御也不该如此。Elastic Security 将 SIEM 和 EDR 功能结合于一个可扩展平台，赋能安全团队在端点、云工作负载、网络和用户活动之间获得全面、相关的可视性。这种集成方式让分析人员能更快速、更精准地检测、调查并应对多阶段横向攻击。通过将端点遥测与数百个开箱即用集成提供的更广泛安全数据相关联，Elastic 实现真正的 XDR 效果：更快发现复杂攻击模式、缩短调查时间、让安全运营更高效、更流畅。借助 Elastic，你能打破数据孤岛，重掌安全数据控制权，以所需上下文抢先应对高级威胁。

通过更智能的分析师工作流加速安全响应

在当今快速变化的威胁环境中，速度和精准至关重要。Elastic Security 利用 AI 为你的团队赋能，提供强大、以分析师为中心的功能，帮助快速过滤噪音，加速响应。Attack Discovery 通过实时分析检测结果和端点遥测，自动呈现高风险攻击路径和可疑行为 —— 无需手动切换或威胁狩猎。结合 Elastic AI Assistant，分析师可以即时生成事件摘要，获得上下文解释，并收到针对每次调查量身定制的指导操作步骤。Automatic Import 简化了自定义数据的导入和标准化流程，让分析师无论面对何种数据源，都能立即获得可视性和上下文信息。

Attack Discovery 分析并总结一起勒索软件事件

AI 驱动的修复触手可及

端点安全至关重要，但有时可能会引入系统变慢或性能冲突等问题。手动排查这些问题既复杂又耗时，常常导致安全工具部署延迟，在你的环境中造成关键的可视性缺口。

Elastic 的 Automatic Troubleshooting 使用 AI 自动识别导致端点性能问题的第三方防病毒或安全软件，从而解决用户系统变慢的问题。我们甚至提供快速的一键排除操作，帮助你修复这些冲突。

这为安全团队提供快速、清晰的洞察和指导步骤来解决性能问题 —— 帮助你在不牺牲端点性能或用户体验的前提下维持强大的安全性。

Elastic Extended Security 如何保护我的端点？

Elastic Defend 是 Elastic 内部的端点防护集成，提供实时的预防、检测和响应能力。它可以防御多种威胁 —— 包括恶意软件、勒索软件、无文件攻击，以及对手常用的攻击技术如进程注入和凭证导出 —— 同时在主机和进程层持续监控恶意行为。在本节中，我们将深入介绍 Elastic Defend 如何检测、阻止并响应这些攻击类型，以保障端点安全。

恶意软件

Elastic Extended Security 通过多层防御机制保护 Windows、macOS 和 Linux 上的设备免受恶意软件侵害。它会在文件保存或运行时进行扫描，提前拦截恶意软件造成的伤害。通过使用智能检测方法，如 YARA 签名和威胁情报查询，它可以快速发现威胁。在 Windows 和 macOS 上，Elastic Extended Security 还使用名为 MalwareScore 的机器学习风险评分模型，帮助优先处理最危险的威胁。此外，它还能阻止不需要的程序、隔离可疑文件，甚至在需要时恢复它们。在 Windows 上，它还进一步提供自我修复和驱动保护功能，确保系统平稳安全运行。这些工具在后台安静运行，在不影响系统速度的前提下，持续保障你的端点安全。

勒索软件

针对勒索软件，Elastic Extended Security 主要为 Windows 端点提供强大保护。它不仅监控可疑行为以识别勒索软件活动，还使用 “canaries” —— 专门设计的诱饵文件，用于在勒索软件尝试加密数据时进行检测。Elastic Extended Security 还可以保护主引导记录（Master Boot Record - MBR），该区域常被勒索软件攻击以锁定系统。一旦检测到勒索软件，Elastic Extended Security 能自动终止恶意进程，立即阻止攻击。

无文件攻击

无文件攻击是一种不依赖下载恶意文件的网络攻击 —— 它直接在设备内存中运行恶意代码，使其更难被传统安全工具检测。Elastic Extended Security 可在 Windows、macOS 和 Linux 上保护设备免受这类基于内存的复杂攻击。它通过 YARA 扫描在各平台上识别可疑代码模式。在 Windows 上，Elastic Extended Security 实时监控内存威胁系统行为，识别可疑的进程活动、内存注入技术及其他无文件攻击迹象。一旦检测到威胁，Elastic Extended Security 可立即终止恶意进程。此外，在 Windows 上还具备自我修复功能，能自动修复受影响的系统部分。这种多层防御方法能有效防御试图绕过检测的隐蔽攻击，保障端点安全。

恶意行为

恶意行为防护侧重于发现设备上的有害操作，而不只是已知恶意软件文件。Elastic Extended Security 在 Linux、macOS 和 Windows 上监控可疑行为，利用强大检测技术实时识别威胁。它会查找各种恶意行为，例如未授权的权限提升、可疑进程生成、异常网络连接，或试图禁用安全工具的行为。一旦检测到这些行为，Elastic Extended Security 可终止恶意进程 —— 甚至是整个进程树 —— 以阻止攻击传播。通过关注攻击者的行为而非特征，Elastic Extended Security 能在威胁造成破坏前将其拦截，确保端点安全。

事件采集

Elastic Extended Security 有选择地采集系统活动数据，以尽可能检测和阻止威胁，同时兼顾存储利用和系统性能。Elastic Extended Security 专注于收集与安全相关的活动，而非完整记录所有系统事件。所生成的事件数据可能会根据需要进行聚合、截断或去重，以优化威胁检测与防御效果。最近对默认设置的更新已将事件量减少高达 68%，帮助你降低数据存储成本并提升系统性能。想了解我们是如何做到的？请阅读我们的博客文章：《减少噪音，提升信号：Elastic Extended Security 如何大幅降低事件量》。

深入挖掘：无数据限制地调查威胁

在安全调查中，速度和上下文至关重要 —— 这意味着你需要随时访问所有数据。Elastic Security 专为大规模处理安全遥测而构建，让你可以在不妥协的前提下保留、搜索和分析海量数据。

通过可搜索快照和灵活的数据分层，Elastic 让你可以保留数月甚至数年的端点、云和基础设施数据并保持可搜索 —— 不必担心预算超支。无需在保留时间和性能之间做选择。

结合强大的调查工具如 Timeline、Session View 和交互式进程分析器，分析人员可以快速追踪事件、在相关活动之间自由切换，并发现事件的完整范围。结果就是：调查更快、洞察更深入、决策基于完整可靠的数据。凭借我们不依赖特定厂商的架构，这些调查工作流无缝支持来自 Elastic、第三方 EDR 或两者结合的遥测数据 —— 无论你使用什么工具，都能确保调查高效且全面。

开放透明的安全防护

在 Elastic，我们深知 SOC 分析师在应对不断演变的威胁时依赖透明性与信任。这就是为什么我们将防护构件仓库完全开源，公开 Elastic 端点安全背后的检测逻辑 —— 包括适用于 Windows、macOS 和 Linux 的 YARA 签名与规则。这种可见性让你清楚了解系统内部运行原理，可根据自身环境自定义检测逻辑，并与社区协作不断提升防护能力。

开放不仅仅是分享代码 —— 更是赋能你领先攻击者、守护组织安全的方式。Elastic 还运营一个公开的漏洞赏金计划，覆盖 EDR 行为检测规则，奖励那些发现绕过检测方法的研究人员。这有助于安全团队强化 Elastic Extended Security 的防护，领先不断进化的攻击技术。

Elastic Security Labs：开放研究，增强防御

Elastic Extended Security 的核心不仅是技术，更是来自 Elastic Security Labs 的专业能力。我们专注的威胁研究团队持续跟踪最新的攻击者行为、恶意软件活动和端点攻击技术，并将这些洞察转化为可操作的防护措施，服务于 Elastic Extended Security 用户。无论是新的检测规则、机器学习模型，还是高级预防能力，Security Labs 都确保 Elastic Extended Security 始终领先于威胁。通过持续向安全社区贡献开源检测规则、研究报告和恶意软件分析，Elastic Security Labs 不仅增强了客户防御能力，也惠及所有 Extended Security 用户。

通过响应操作立即阻止威胁

没有什么比可能表明活跃威胁的端点告警更能给 SOC 团队带来压力了。Elastic Extended Security 为分析师提供一套强大的响应操作，可迅速隔离并消除端点威胁，防止其扩散升级。分析师可直接在 Elastic Security UI 中隔离主机、终止恶意进程，并收集关键取证信息，如内存转储或文件元数据。这些操作可远程、大规模执行，帮助团队缩短潜伏时间，迅速制止攻击。借助 Elastic 的 agent 架构，这些响应操作既快速又可靠，并可适用于多样化环境 —— 在关键时刻为 SOC 团队提供信心与控制力。

此外，Elastic 真正的厂商无关架构也支持与第三方平台（如 CrowdStrike、Microsoft Defender for Endpoint 和 SentinelOne）无缝协同，实现统一响应编排 —— 让 SOC 团队可直接从 Elastic Security 执行隔离和修复操作。

响应控制台

Elastic Extended Security 的防护到底有多强？

我们认为 Elastic Extended Security 是业界最优秀的防护引擎之一 —— 但不仅仅是我们这么说。独立第三方测试持续验证了我们端点安全能力的强大。

在最新的 AV-Comparatives 商业安全测试（2025 年 4–5 月）中，Elastic Extended Security 在 200 多种高级攻击场景和 1000 多个真实恶意软件样本中实现了 100% 的防护率。这是在业内最严格的评测中名列前茅的表现。

而且不仅如此。Elastic Extended Security 还获得了 VB100 的 A 级认证，经过了严格的真实恶意软件和误报测试。

这些结果印证了我们的客户体验：Elastic Extended Security 持续提供对当今最复杂威胁的可靠、高准确度防护，同时作为 Elastic Security 平台的一部分，保持轻量且易于管理。

AV-Comparatives 2025 年 4–5 月恶意软件测试结果

开始使用 Elastic Security

加入越来越多信任 Elastic Security 保护其组织免受攻击的企业行列。体验安心感，知道你的端点和整个组织都能抵御最新威胁。立即开始你的 Elastic Security 免费试用，体验我们防护带来的不同。访问 elastic.co/security 了解更多并开始使用。

本帖中描述的任何功能或特性的发布及时间完全由 Elastic 自行决定。当前不可用的功能或特性可能不会按时或根本不会发布。

本文可能使用或提及第三方生成式 AI 工具，这些工具由各自所有者拥有和运营。Elastic 对这些第三方工具的内容、操作或使用不具备任何控制权，也不承担因此产生的任何责任或损失。请在使用 AI 工具处理个人、敏感或机密信息时谨慎。你提交的任何数据可能会被用于 AI 训练或其他用途。不能保证你提供的信息会被安全或保密地保存。你应在使用任何生成式 AI 工具前熟悉其隐私政策和使用条款。

Elastic、Elasticsearch 及相关标志是 Elasticsearch N.V. 在美国及其他国家的商标、标识或注册商标。所有其他公司和产品名称均为其各自所有者的商标、标识或注册商标。

原文：You thought Elastic only did SIEM? Think again! | Elastic Blog