La caractéristique remarquable de Elastic Security est la rapidité et la flexibilité de KQL et ES|QL. Dans les recherches de menaces à enjeux élevés, pouvoir pivoter à travers des ensembles de données massifs avec des résultats quasi-instantanés est crucial. L'intégration native de Elastic Defend arrive en deuxième position ; avoir la télémétrie des points de terminaison et les journaux SIEM dans un schéma unique (ECS) élimine la "taxe de traduction" habituellement requise lors de la mise en correspondance de sources de données disparates. Bien que l'Assistant AI soit un excellent accélérateur d'efficacité pour générer des requêtes complexes, la véritable valeur réside dans la personnalisation de la plateforme. Avis collecté par et hébergé sur G2.com.
L'un des principaux défis avec Elastic Security est la lourde charge administrative nécessaire pour maintenir un environnement sain. Contrairement aux solutions SaaS "prêt-à-l'emploi", Elastic nécessite un "soin et alimentation" constants des pipelines d'ingestion, de la gestion du cycle de vie des index (ILM) et du mappage des shards. Si le mappage n'est pas parfait, vous risquez des explosions de mappage ou des champs non analysés qui peuvent rendre invisibles des journaux critiques lors d'une recherche. Cette complexité transforme souvent un analyste de menaces en ingénieur de données à temps partiel juste pour s'assurer que les données sont consultables.
Un autre point de douleur significatif est la courbe d'apprentissage abrupte des nouveaux langages de requête. Bien que ES|QL soit puissant, la transition de KQL ou Lucene crée un écart temporaire d'efficacité pour l'équipe. De plus, la licence et la consommation de ressources peuvent être imprévisibles ; puisque le prix est basé sur le calcul et le stockage (RAM/CPU) plutôt que simplement sur le volume de données ou les sièges, une requête mal écrite par un analyste junior ou une augmentation soudaine du volume de journaux peut entraîner une dégradation des performances ou des coûts de mise à l'échelle inattendus qui sont difficiles à budgétiser pour un SOC à grande échelle.
Enfin, les capacités SOAR natives semblent encore quelque peu immatures par rapport aux plateformes dédiées. Bien que des actions automatisées de base existent, la création de playbooks de réponse complexes et multi-étapes—surtout ceux impliquant des intégrations tierces en dehors de l'écosystème Elastic—peut être maladroite et nécessite souvent des outils externes pour atteindre une véritable automatisation. Pour un flux de travail DFIR de haut niveau, la gestion des cas intégrée manque également de certaines des fonctionnalités de documentation médico-légale plus approfondies nécessaires pour la chaîne de possession des preuves, nous obligeant à nous appuyer sur des plateformes externes pour les rapports formels. Avis collecté par et hébergé sur G2.com.
