KI-gestützte Anomaly Detection für Elasticsearch

Erkennen Sie ungewöhnliche Muster in Ihren Elasticsearch-Daten mit Unsupervised Machine Learning. Keine Trainingsdaten nötig. Search Guard Anomaly Detection lernt, was normal ist – und warnt Sie, wenn sich etwas ändert.

Machine Learning, das sofort funktioniert

Search Guard Anomaly Detection nutzt den Random Cut Forest-Algorithmus – ein Unsupervised-ML-Ansatz, der keine gelabelten Trainingsdaten benötigt. Richten Sie ihn auf Ihre Elasticsearch-Indizes ein und er lernt automatisch die normalen Datenmuster. Weicht das Verhalten von der Norm ab, werden Anomalien mit einem Confidence Score markiert, damit Sie sich auf das Wesentliche konzentrieren können.

Echtzeit- und historische Erkennung

Lassen Sie Detektoren kontinuierlich für Live-Monitoring laufen oder analysieren Sie vergangene Daten, um übersehene Anomalien aufzudecken. Konfigurieren Sie Erkennungsintervalle von Minuten bis Stunden und optimieren Sie Window Delays für verspätet eintreffende Daten. Ob Live-Metriken oder Incident-Analyse – die Anomaly Detection passt sich Ihrem Workflow an.

High-Cardinality-Detektoren für granulare Insights

Nicht alle Anomalien treten auf aggregierter Ebene auf. Nutzen Sie Category Fields, um automatisch individuelle Erkennungsmodelle pro Entity zu erstellen – z.B. pro IP-Adresse, Hostname, User oder Service. Überwachen Sie Tausende Entities gleichzeitig und identifizieren Sie genau, welche Dimension die Anomalie verursacht.

Nahtlose Alerting-Integration

Verbinden Sie Ihre Anomaly-Detektoren direkt mit Signals Alerting Watches. Definieren Sie Schwellenwerte für Anomaly Scores und Confidence Levels, konfigurieren Sie Eskalationsstufen und lassen Sie sich per E-Mail, Slack, PagerDuty, JIRA oder Webhook benachrichtigen. Überwachen Sie mehrere Detektoren in einem Watch oder richten Sie Entity-spezifische Alerts für High-Cardinality-Detektoren ein.

So funktioniert's

1
Detektor erstellen
Richten Sie Ihren Detektor auf einen beliebigen Elasticsearch-Index ein. Wenden Sie Filter an, um die relevanten Daten einzugrenzen, und legen Sie ein Erkennungsintervall fest, das zu Ihrem Use Case passt.
2
Features definieren
Wählen Sie aus Built-in-Aggregationen wie Durchschnitt, Count, Summe, Min oder Max. Mehr Kontrolle gewünscht? Nutzen Sie Custom Elasticsearch Queries, um exakt festzulegen, was überwacht werden soll.
3
Erkennen und Handeln
Starten Sie die Echtzeit- oder historische Erkennung. Sehen Sie Anomaly Scores und Aufschlüsselungen in der Kibana UI und verbinden Sie sich mit Signals Alerting für automatische Benachrichtigungen.

Kernfunktionen

trending_up
Spikes und Drops
Erkennen Sie unerwartete Spikes, Drops oder beides in jeder Metrik. Konfigurieren Sie jedes Feature so, dass nur die Anomalie-Typen gemeldet werden, die für Ihren Betrieb relevant sind.
category
Per-Entity Detection
Nutzen Sie Category Fields, um High-Cardinality-Detektoren zu erstellen, die Anomalien pro IP-Adresse, Hostname, User oder jeder anderen Dimension in Ihren Daten überwachen.
history
Historische Analyse
Analysieren Sie vergangene Daten, um übersehene Anomalien aufzudecken. Lassen Sie historische Detektoren über beliebige Zeiträume laufen, um Muster zu identifizieren und Ihre Detection-Strategie zu validieren.
tune
Custom Aggregations
Gehen Sie über Built-in-Aggregationen hinaus: Mit Custom Elasticsearch Queries definieren Sie exakt, was gemessen werden soll – mit der vollen Power der Elasticsearch Query DSL.
notifications_active
Signals Alerting
Verbinden Sie Anomaly-Detektoren mit Signals Alerting Watches. Definieren Sie Schwellenwerte und erhalten Sie Benachrichtigungen per E-Mail, Slack, PagerDuty, JIRA oder Webhook.
settings_ethernet
Vollständige REST API
Automatisieren Sie Erstellung, Verwaltung und Ergebnisabfrage von Detektoren über eine umfassende REST API. Integrieren Sie die Anomaly Detection in Ihre bestehenden DevOps-Workflows.

Gebaut für produktive Elasticsearch Cluster

Voll integriert mit Search Guard Security

Die Anomaly Detection ist komplett in die RBAC von Search Guard integriert. Legen Sie fest, wer Detektoren erstellen und verwalten darf, und trennen Sie den Zugriff über Tenancy und Document-Level Security.

Enterprise Performance

Betreiben Sie bis zu 1.000 Single-Entity- und 10 High-Cardinality-Detektoren gleichzeitig. Integriertes Resource Management schützt Ihren Cluster mit automatischen Memory Limits und JVM-Schutzmechanismen.

Schnell und einfach einrichten

In wenigen Minuten startklar: unkomplizierter Installationsprozess, umfassende Dokumentation und sinnvolle Defaults für den sofortigen Einsatz Ihres ersten Anomaly-Detektors. Mit Feinabstimmungsoptionen für Production Workloads.

60 Tage kostenlos testen

Sehen Sie selbst, wie Search Guard Ihren Elastic Stack absichert. 60 Tage kostenlos, keine Kreditkarte nötig.
Kostenlos testen
Jetzt den Search Guard Newsletter abonnieren