La nuova versione di Elastic 7.3.0 è adesso disponibile! Scopriamo quali sono le nuove funzionalità e i miglioramenti implementati su varie tipologie di applicazione!
Introduzione al data frame
Nella nuova versione Elastic 7.3.0 c’è una nuova funzionalità per creare indici basati su entità, ovvero il data frame. Questa novità fornisce una migliore integrazione con il modulo Machine Learning per quanto riguarda l’Anomaly Detection (già presente) orientato al SIEM. I Data Frame consentono infatti di creare un nuovo indice incentrato sull’entità con un documento per indirizzo IP univoco che tiene traccia di ciascuna metrica di interesse supportando l’elaborazione continua.
In altre parole, con il data frame è possibile raggruppare gli eventi dei log per utente, per host e per qualsiasi data. Si ha quindi per ogni utente un conteggio delle interazioni per server raggruppato per tipo di richiesta. L’organizzazione dei dati per entità e la sintesi di molti eventi facilita l’esecuzione di diversi modelli di analisi numerica e l’individuazione di comportamenti insoliti.