Skip to content

10 ‐ Security

inhogoes edited this page May 21, 2026 · 1 revision

10.1 - O que é o Elastic Security?

O Elastic Security é a solução de segurança da Elastic, construída sobre o Elastic Stack. Ela centraliza dados de segurança de diversas fontes — logs de sistemas, eventos de rede, dados de endpoints, feeds de threat intelligence — e oferece uma plataforma unificada para detectar, investigar e responder a ameaças.

O Elastic Security é classificado como uma plataforma SIEM (Security Information and Event Management) + XDR (Extended Detection and Response), o que significa que vai além da simples correlação de logs: ele também protege endpoints, automatiza respostas e usa inteligência artificial para priorizar alertas.

Na versão 9.4, a Elastic consolidou o Elastic Security como uma plataforma de SecOps agêntica — com automação nativa (Workflows), inteligência artificial integrada (Attack Discovery, AI Assistant) e capacidades de resposta a endpoints, eliminando a necessidade de ferramentas SOAR externas.

Por que usar o Elastic Security?

  • Sem silos: logs, métricas, eventos de endpoint e dados de APM estão no mesmo cluster — correlacionar um alerta de SIEM com dados de observabilidade é nativo, não uma integração
  • Regras baseadas em padrões conhecidos: o Elastic Security vem com centenas de regras de detecção prontas, mapeadas para o framework MITRE ATT&CK
  • Escalabilidade: o mesmo Elasticsearch que indexa bilhões de logs por dia é o motor de busca do SIEM
  • IA integrada: Attack Discovery e AI Assistant reduzem o tempo de triagem e investigação sem precisar de ferramentas externas

10.2 - Componentes do Elastic Security

10.2.1 - SIEM

O SIEM do Elastic Security é a camada de coleta, correlação e visualização de eventos de segurança. Diferentemente de SIEMs tradicionais que exigem normalizações manuais pesadas, o Elastic Security usa o ECS (Elastic Common Schema) — um schema padronizado que normaliza campos de diferentes fontes automaticamente.

O que o SIEM faz:

  • Coleta de dados: recebe eventos de qualquer fonte via Beats, Elastic Agent, Logstash ou qualquer sistema que envie dados no formato ECS. Exemplos: firewall logs, Active Directory, DNS, proxy, endpoint events.
  • Correlação de eventos: o mecanismo de detecção aplica regras sobre os dados indexados em tempo real ou em janelas de tempo configuráveis.
  • Timelines: ferramenta de investigação que permite ao analista construir uma linha do tempo de eventos relacionados a um incidente — arrastando alertas, queries e anotações para uma narrativa coerente.
  • Dashboards de segurança: painéis prontos para monitoramento de autenticações, eventos de rede, atividade de usuários, entre outros.

Caminho: Menu → Security → Overview

10.2.2 - Endpoint Security

O Elastic Agent com a integração de Elastic Defend transforma o agente de coleta de dados em um agente de proteção de endpoints — com capacidades de prevenção, detecção e resposta (EDR).

O que o Elastic Defend oferece:

  • Prevenção de malware: bloqueia executáveis maliciosos com base em assinaturas e análise comportamental, mesmo offline
  • Detecção comportamental: identifica técnicas de ataque (process injection, credential dumping, lateral movement) com base em comportamento, não apenas assinaturas
  • Response actions: a partir do Kibana, é possível executar ações remotas no endpoint sem precisar de acesso direto à máquina:
    • Isolar o host da rede (preservando a conexão com o Elastic)
    • Listar e finalizar processos
    • Executar comandos via shell remoto
    • Capturar arquivos suspeitos para análise
    • Memory dump (novo no 9.4): capturar memória de processos para análise forense — disponível em Linux, Windows e macOS

Caminho: Menu → Security → Endpoints

10.2.3 - Regras de Detecção

As regras de detecção são o coração do SIEM. Cada regra define uma condição que, quando atendida, gera um alerta para investigação.

Tipos de regras disponíveis:

Tipo Como funciona Exemplo de uso
Query Busca documentos que correspondem a uma query EQL, KQL ou ES|QL Detectar login fora do horário comercial
Machine Learning Usa jobs de ML para detectar anomalias estatísticas Detectar volume anômalo de transferência de dados
Threshold Dispara quando o número de eventos ultrapassa um limite em uma janela de tempo Detectar brute force: mais de 10 falhas de autenticação em 1 minuto
Event Correlation (EQL) Detecta sequências de eventos usando EQL (Event Query Language) Detectar execução de PowerShell seguida de conexão de rede em menos de 60 segundos
New Terms Dispara quando um valor nunca visto antes aparece em um campo Detectar novo executável nunca visto em um host
Indicator Match Correlaciona eventos com IOCs (Indicadores de Comprometimento) de threat intelligence Detectar conexão para IP presente em feed de C2

Regras prontas: o Elastic Security vem com mais de 800 regras de detecção prontas, mantidas pela equipe da Elastic e mapeadas para o framework MITRE ATT&CK. Elas são atualizadas a cada release e podem ser instaladas via Elastic Security → Detection Rules → Add Elastic rules.

Caminho: Menu → Security → Rules → Detection Rules

10.2.4 - Attack Discovery

Introduzido no 8.14 e GA no 9.0, o Attack Discovery é um recurso de IA que analisa os alertas disparados nas últimas horas e os correlaciona automaticamente em narrativas de ataque — agrupando alertas isolados em uma cadeia de eventos coerente.

Por que isso importa:

Um analista de SOC em um ambiente real pode receber dezenas ou centenas de alertas por hora. A maioria é ruído ou alertas relacionados ao mesmo ataque visto de múltiplos ângulos. O Attack Discovery usa um LLM para analisar o conjunto de alertas e identificar quais parecem fazer parte de uma mesma campanha — reduzindo o tempo de triagem de horas para minutos.

O que o Attack Discovery entrega:

  • Agrupamento de alertas relacionados em um único "ataque"
  • Narrativa em linguagem natural explicando o que está acontecendo
  • Mapeamento para táticas e técnicas do MITRE ATT&CK
  • Recomendação de próximos passos para o analista

Caminho: Menu → Security → Attack Discovery

10.2.5 - Threat Intelligence

O Elastic Security permite integrar feeds externos de Threat Intelligence — listas de IPs maliciosos, hashes de malware, domínios de C2, URLs de phishing — e correlacioná-los automaticamente com os eventos do SIEM.

Fontes de threat intelligence suportadas:

  • Integração nativa com feeds gratuitos via Elastic Agent integrations: MISP, Abuse.ch, AlienVault OTX, Anomali, entre outros
  • Ingestão manual de IOCs no formato STIX/TAXII
  • Qualquer feed que possa ser ingerido via Logstash ou Elastic Agent

Como funciona a correlação:

As regras do tipo Indicator Match verificam continuamente se eventos recentes do SIEM contêm campos que correspondem a IOCs indexados. Por exemplo: se um endpoint se conectar a um IP que está na lista de C2 conhecidos, a regra gera um alerta automaticamente.

Caminho: Menu → Security → Intelligence → Indicators

10.2.6 - Workflows (SOAR nativo)

Introduzido em versões anteriores e chegando ao status GA no 9.4, o Workflows é o mecanismo de automação nativo do Elastic Security — eliminando a necessidade de uma ferramenta SOAR externa.

O que os Workflows permitem:

  • Criar fluxos de automação visuais que respondem a alertas, casos ou eventos
  • Executar ações em sequência: enriquecer um alerta com dados de threat intelligence, criar um case, notificar o time no Slack, isolar o endpoint, atribuir para um analista
  • Integrar com sistemas externos via webhook — Jira, ServiceNow, PagerDuty, qualquer API REST
  • Combinar automação determinística (passos fixos) com IA (o AI Agent decide o próximo passo com base no contexto)

Diferença em relação aos playbooks SOAR tradicionais:

Em um SOAR tradicional, o playbook define todos os passos antecipadamente. No Elastic Workflows com AI Agent integrado, parte do fluxo pode ser delegada ao agente de IA — que analisa o contexto e decide quais ações tomar, sem necessidade de mapear cada cenário possível.

Caminho: Menu → Security → Workflows (Enterprise)

10.2.7 - Cases

O módulo de Cases do Elastic Security funciona como o sistema de gestão de incidentes integrado ao SIEM. Permite documentar a investigação, colaborar com o time e manter o histórico completo de cada incidente.

Funcionalidades:

  • Criar casos manualmente ou automaticamente a partir de alertas (via regras ou Workflows)
  • Adicionar alertas, evidências, comentários e anexos ao caso
  • Definir severidade, status e responsável
  • Integrar com sistemas externos: Jira, ServiceNow, Swimlane
  • Auditar todas as ações tomadas no caso

Caminho: Menu → Security → Cases


10.3 - Framework MITRE ATT&CK

O MITRE ATT&CK é um framework público que cataloga táticas e técnicas usadas por atacantes reais em ataques documentados. É o padrão de referência da indústria de segurança.

Estrutura do MITRE ATT&CK:

  • Táticas: o objetivo do atacante em uma fase do ataque (ex: Initial Access, Execution, Persistence, Privilege Escalation, Lateral Movement, Exfiltration)
  • Técnicas: como o atacante atinge o objetivo (ex: T1059 - Command and Scripting Interpreter, T1078 - Valid Accounts)
  • Sub-técnicas: variações específicas de uma técnica (ex: T1059.001 - PowerShell)

Como o Elastic Security usa o MITRE ATT&CK:

Cada regra de detecção é mapeada para uma ou mais técnicas do MITRE ATT&CK. No Kibana, é possível visualizar a cobertura do seu ambiente através de uma matriz que mostra quais técnicas estão sendo detectadas — e identificar lacunas onde não há cobertura.

Caminho: Menu → Security → Rules → Coverage Overview


10.4 - Laboratório 1: criando e testando regras de detecção

Neste laboratório vamos criar uma regra de detecção personalizada e verificar o fluxo completo de um alerta — da geração à investigação.

Habilitando regras prontas da Elastic

  1. Acesse Menu → Security → Rules → Detection Rules
  2. Clique em Add Elastic rules
  3. Filtre por categoria Linux ou Credential Access
  4. Habilite algumas regras clicando no toggle ao lado de cada uma
  5. Clique em Install and enable X rules

Criando uma regra personalizada do tipo Threshold

Vamos criar uma regra que detecta múltiplas falhas de autenticação SSH em curto período — um indicador clássico de brute force.

  1. Acesse Menu → Security → Rules → Detection Rules → Create new rule
  2. Selecione o tipo Threshold
  3. Configure a query:
event.category: "authentication" and event.outcome: "failure" and process.name: "sshd"
  1. Configure o threshold:

    • Field: source.ip
    • Threshold: 5
    • Time window: 5 minutes
  2. Em About rule, configure:

    • Name: SSH Brute Force - Múltiplas Falhas de Autenticação
    • Description: Detecta 5 ou mais falhas de autenticação SSH do mesmo IP em 5 minutos
    • Severity: Medium
    • Risk score: 47
    • MITRE ATT&CK: Tática Credential Access, Técnica T1110 - Brute Force
  3. Em Schedule rule, configure:

    • Runs every: 5 minutes
    • Additional look-back time: 1 minute
  4. Clique em Create & enable rule

Verificando alertas gerados

Quando a regra disparar, os alertas aparecem em:

Menu → Security → Alerts

Para cada alerta você pode:

  • Ver os detalhes do evento que disparou a regra
  • Navegar para o host ou usuário relacionado
  • Adicionar a uma Timeline para investigação
  • Criar um Case para acompanhamento
  • Alterar o status do alerta: Open → Acknowledged → Closed

10.5 - Laboratório 2: investigando um alerta com Timeline

A Timeline é a ferramenta de investigação do Elastic Security. Ela permite construir uma narrativa cronológica de eventos relacionados a um incidente.

Criando uma Timeline a partir de um alerta

  1. Acesse Menu → Security → Alerts
  2. Clique no ícone de investigação ao lado de um alerta (ícone de relógio)
  3. Selecione Investigate in Timeline

A Timeline será criada automaticamente com o alerta e os eventos relacionados.

Navegando na Timeline

  • Query bar: adicione filtros para incluir ou excluir eventos — por exemplo, filtre por host.name para ver todos os eventos do host afetado no período
  • Adicionar eventos: arraste eventos da lista de resultados para a Timeline para incluí-los na narrativa
  • Anotações: adicione comentários a eventos específicos para documentar suas observações
  • Field browser: selecione quais campos exibir na tabela para facilitar a análise

Adicionando contexto à investigação

Com o alerta de brute force na Timeline, adicione uma query para ver o que aconteceu depois das falhas — especificamente, se algum login foi bem-sucedido:

event.category: "authentication" and event.outcome: "success" and host.name: "<NOME_DO_HOST>"

Se você encontrar um login bem-sucedido logo após as falhas de autenticação, isso pode indicar que o ataque de brute force foi efetivo.

Salvando e convertendo em Case

  1. Clique em Save para salvar a Timeline com um nome descritivo
  2. Clique em Attach to new case para criar um Case vinculado à investigação
  3. Preencha o título, descrição e severidade do Case
  4. Clique em Create case

10.6 - Laboratório 3: visualizando cobertura MITRE ATT&CK

  1. Acesse Menu → Security → Rules → Coverage Overview
  2. A matriz MITRE ATT&CK será exibida com:
    • Células verdes: técnicas cobertas por regras habilitadas
    • Células amarelas: técnicas com regras disponíveis mas não habilitadas
    • Células vazias: técnicas sem cobertura
  3. Passe o mouse sobre cada célula para ver quais regras cobrem aquela técnica
  4. Clique em uma célula para abrir as regras correspondentes e habilitá-las diretamente

Esse mapa é uma ferramenta valiosa para comunicar a postura de segurança para gestores e para identificar lacunas prioritárias de detecção.


Clone this wiki locally