Elastic 7.13強化對開源主機檢測框架Osquery的支援

Elastic發布了最新軟體堆疊Elastic 7.13版本，這個新版本在企業搜尋、可觀察性和安全解決方案，都加入新功能。除了提供正式的凍結層儲存服務外，還加入執行時欄位（Runtime Fields）功能，強化分析能力，並且改善開源主機檢測框架Osquery整合，提供用戶進行更強大的安全分析。

現在Elastic凍結層（Frozen Tier）資料儲存服務已經正式上線，用戶不需要取捨要留下或是刪除的資料，能夠以凍結層低成本儲存PB級資料，並且以更具成本效益的方式，對儲存在物件儲存中的資料進行大規模搜尋。

官方解釋，雖然物件儲存極具成本效益，但是這種儲存方式會影響搜尋效能，而Elastic則是會根據需要，從物件儲存中擷取必要的內容，並根據需要在本地端快取，以高效率低成本的方式完成資料查詢。無論用戶的使用情境是建構儀表板，還是針對龐大資料集進行查詢，官方強調，凍結層都能提供良好的搜尋體驗。

Elastic 7.13強化了可觀察性功能，讓資料分析師可以運用Discover和Kibana Lens，在執行時額外加入資料欄位參與分析。這項功能適用的情境，官方舉例，當用戶有一個問題想要進行研究，而手中剛好沒有可使用的資料，則Discover和Kibana Lens的執行時欄位功能，就可以讓資料分析師快速產生需要的資料。

執行時欄位供分析師探索和強化所使用的資料，透過執行時欄位編輯器，在Discover和Kibana Lens動態創建欄位，並且進行格式化、修改和轉換資料，以方便彈性的方式進行資料分析，而且不需要切換到其他畫面進行額外操作。這個靈活的資料分析功能，讓分析師獨立執行資料探索工作，並且在工作流程中直接修改使用的資料，當場查看結果。

在安全性上，Elastic 7.13擴大支援開源主機檢測框架Osquery，供Elastic Agent能使用新的主機管理整合，透過結合Osquery主機資料來進行統一分析。Osquery主機管理整合讓企業安全團隊，可以用Osquery來解決網路威脅，用戶只需要點擊介面，就可以在Windows、macOS和Linux主機上安裝與調度Osquery。

Osquery資料會儲存在Elasticsearch中，並且在Kibana中顯示，用戶可以使用一個或多個代理來執行即時查詢，並且定義排程查詢，以掌握組織系統的安全狀態，Osquery資料可與其他事件、威脅和異常資料進行綜合分析，提高主機可見性，增強企業安全分析和監控能力。