-
Notifications
You must be signed in to change notification settings - Fork 3
10 ‐ Security
O Elastic Security é a solução de segurança da Elastic, construída sobre o Elastic Stack. Ela centraliza dados de segurança de diversas fontes — logs de sistemas, eventos de rede, dados de endpoints, feeds de threat intelligence — e oferece uma plataforma unificada para detectar, investigar e responder a ameaças.
O Elastic Security é classificado como uma plataforma SIEM (Security Information and Event Management) + XDR (Extended Detection and Response), o que significa que vai além da simples correlação de logs: ele também protege endpoints, automatiza respostas e usa inteligência artificial para priorizar alertas.
Na versão 9.4, a Elastic consolidou o Elastic Security como uma plataforma de SecOps agêntica — com automação nativa (Workflows), inteligência artificial integrada (Attack Discovery, AI Assistant) e capacidades de resposta a endpoints, eliminando a necessidade de ferramentas SOAR externas.
- Sem silos: logs, métricas, eventos de endpoint e dados de APM estão no mesmo cluster — correlacionar um alerta de SIEM com dados de observabilidade é nativo, não uma integração
- Regras baseadas em padrões conhecidos: o Elastic Security vem com centenas de regras de detecção prontas, mapeadas para o framework MITRE ATT&CK
- Escalabilidade: o mesmo Elasticsearch que indexa bilhões de logs por dia é o motor de busca do SIEM
- IA integrada: Attack Discovery e AI Assistant reduzem o tempo de triagem e investigação sem precisar de ferramentas externas
O SIEM do Elastic Security é a camada de coleta, correlação e visualização de eventos de segurança. Diferentemente de SIEMs tradicionais que exigem normalizações manuais pesadas, o Elastic Security usa o ECS (Elastic Common Schema) — um schema padronizado que normaliza campos de diferentes fontes automaticamente.
O que o SIEM faz:
- Coleta de dados: recebe eventos de qualquer fonte via Beats, Elastic Agent, Logstash ou qualquer sistema que envie dados no formato ECS. Exemplos: firewall logs, Active Directory, DNS, proxy, endpoint events.
- Correlação de eventos: o mecanismo de detecção aplica regras sobre os dados indexados em tempo real ou em janelas de tempo configuráveis.
- Timelines: ferramenta de investigação que permite ao analista construir uma linha do tempo de eventos relacionados a um incidente — arrastando alertas, queries e anotações para uma narrativa coerente.
- Dashboards de segurança: painéis prontos para monitoramento de autenticações, eventos de rede, atividade de usuários, entre outros.
Caminho: Menu → Security → Overview
O Elastic Agent com a integração de Elastic Defend transforma o agente de coleta de dados em um agente de proteção de endpoints — com capacidades de prevenção, detecção e resposta (EDR).
O que o Elastic Defend oferece:
- Prevenção de malware: bloqueia executáveis maliciosos com base em assinaturas e análise comportamental, mesmo offline
- Detecção comportamental: identifica técnicas de ataque (process injection, credential dumping, lateral movement) com base em comportamento, não apenas assinaturas
-
Response actions: a partir do Kibana, é possível executar ações remotas no endpoint sem precisar de acesso direto à máquina:
- Isolar o host da rede (preservando a conexão com o Elastic)
- Listar e finalizar processos
- Executar comandos via shell remoto
- Capturar arquivos suspeitos para análise
- Memory dump (novo no 9.4): capturar memória de processos para análise forense — disponível em Linux, Windows e macOS
Caminho: Menu → Security → Endpoints
As regras de detecção são o coração do SIEM. Cada regra define uma condição que, quando atendida, gera um alerta para investigação.
Tipos de regras disponíveis:
| Tipo | Como funciona | Exemplo de uso |
|---|---|---|
| Query | Busca documentos que correspondem a uma query EQL, KQL ou ES|QL | Detectar login fora do horário comercial |
| Machine Learning | Usa jobs de ML para detectar anomalias estatísticas | Detectar volume anômalo de transferência de dados |
| Threshold | Dispara quando o número de eventos ultrapassa um limite em uma janela de tempo | Detectar brute force: mais de 10 falhas de autenticação em 1 minuto |
| Event Correlation (EQL) | Detecta sequências de eventos usando EQL (Event Query Language) | Detectar execução de PowerShell seguida de conexão de rede em menos de 60 segundos |
| New Terms | Dispara quando um valor nunca visto antes aparece em um campo | Detectar novo executável nunca visto em um host |
| Indicator Match | Correlaciona eventos com IOCs (Indicadores de Comprometimento) de threat intelligence | Detectar conexão para IP presente em feed de C2 |
Regras prontas: o Elastic Security vem com mais de 800 regras de detecção prontas, mantidas pela equipe da Elastic e mapeadas para o framework MITRE ATT&CK. Elas são atualizadas a cada release e podem ser instaladas via Elastic Security → Detection Rules → Add Elastic rules.
Caminho: Menu → Security → Rules → Detection Rules
Introduzido no 8.14 e GA no 9.0, o Attack Discovery é um recurso de IA que analisa os alertas disparados nas últimas horas e os correlaciona automaticamente em narrativas de ataque — agrupando alertas isolados em uma cadeia de eventos coerente.
Por que isso importa:
Um analista de SOC em um ambiente real pode receber dezenas ou centenas de alertas por hora. A maioria é ruído ou alertas relacionados ao mesmo ataque visto de múltiplos ângulos. O Attack Discovery usa um LLM para analisar o conjunto de alertas e identificar quais parecem fazer parte de uma mesma campanha — reduzindo o tempo de triagem de horas para minutos.
O que o Attack Discovery entrega:
- Agrupamento de alertas relacionados em um único "ataque"
- Narrativa em linguagem natural explicando o que está acontecendo
- Mapeamento para táticas e técnicas do MITRE ATT&CK
- Recomendação de próximos passos para o analista
Caminho: Menu → Security → Attack Discovery
O Elastic Security permite integrar feeds externos de Threat Intelligence — listas de IPs maliciosos, hashes de malware, domínios de C2, URLs de phishing — e correlacioná-los automaticamente com os eventos do SIEM.
Fontes de threat intelligence suportadas:
- Integração nativa com feeds gratuitos via Elastic Agent integrations: MISP, Abuse.ch, AlienVault OTX, Anomali, entre outros
- Ingestão manual de IOCs no formato STIX/TAXII
- Qualquer feed que possa ser ingerido via Logstash ou Elastic Agent
Como funciona a correlação:
As regras do tipo Indicator Match verificam continuamente se eventos recentes do SIEM contêm campos que correspondem a IOCs indexados. Por exemplo: se um endpoint se conectar a um IP que está na lista de C2 conhecidos, a regra gera um alerta automaticamente.
Caminho: Menu → Security → Intelligence → Indicators
Introduzido em versões anteriores e chegando ao status GA no 9.4, o Workflows é o mecanismo de automação nativo do Elastic Security — eliminando a necessidade de uma ferramenta SOAR externa.
O que os Workflows permitem:
- Criar fluxos de automação visuais que respondem a alertas, casos ou eventos
- Executar ações em sequência: enriquecer um alerta com dados de threat intelligence, criar um case, notificar o time no Slack, isolar o endpoint, atribuir para um analista
- Integrar com sistemas externos via webhook — Jira, ServiceNow, PagerDuty, qualquer API REST
- Combinar automação determinística (passos fixos) com IA (o AI Agent decide o próximo passo com base no contexto)
Diferença em relação aos playbooks SOAR tradicionais:
Em um SOAR tradicional, o playbook define todos os passos antecipadamente. No Elastic Workflows com AI Agent integrado, parte do fluxo pode ser delegada ao agente de IA — que analisa o contexto e decide quais ações tomar, sem necessidade de mapear cada cenário possível.
Caminho: Menu → Security → Workflows (Enterprise)
O módulo de Cases do Elastic Security funciona como o sistema de gestão de incidentes integrado ao SIEM. Permite documentar a investigação, colaborar com o time e manter o histórico completo de cada incidente.
Funcionalidades:
- Criar casos manualmente ou automaticamente a partir de alertas (via regras ou Workflows)
- Adicionar alertas, evidências, comentários e anexos ao caso
- Definir severidade, status e responsável
- Integrar com sistemas externos: Jira, ServiceNow, Swimlane
- Auditar todas as ações tomadas no caso
Caminho: Menu → Security → Cases
O MITRE ATT&CK é um framework público que cataloga táticas e técnicas usadas por atacantes reais em ataques documentados. É o padrão de referência da indústria de segurança.
Estrutura do MITRE ATT&CK:
- Táticas: o objetivo do atacante em uma fase do ataque (ex: Initial Access, Execution, Persistence, Privilege Escalation, Lateral Movement, Exfiltration)
- Técnicas: como o atacante atinge o objetivo (ex: T1059 - Command and Scripting Interpreter, T1078 - Valid Accounts)
- Sub-técnicas: variações específicas de uma técnica (ex: T1059.001 - PowerShell)
Como o Elastic Security usa o MITRE ATT&CK:
Cada regra de detecção é mapeada para uma ou mais técnicas do MITRE ATT&CK. No Kibana, é possível visualizar a cobertura do seu ambiente através de uma matriz que mostra quais técnicas estão sendo detectadas — e identificar lacunas onde não há cobertura.
Caminho: Menu → Security → Rules → Coverage Overview
Neste laboratório vamos criar uma regra de detecção personalizada e verificar o fluxo completo de um alerta — da geração à investigação.
- Acesse Menu → Security → Rules → Detection Rules
- Clique em Add Elastic rules
- Filtre por categoria Linux ou Credential Access
- Habilite algumas regras clicando no toggle ao lado de cada uma
- Clique em Install and enable X rules
Vamos criar uma regra que detecta múltiplas falhas de autenticação SSH em curto período — um indicador clássico de brute force.
- Acesse Menu → Security → Rules → Detection Rules → Create new rule
- Selecione o tipo Threshold
- Configure a query:
event.category: "authentication" and event.outcome: "failure" and process.name: "sshd"
-
Configure o threshold:
-
Field:
source.ip -
Threshold:
5 -
Time window:
5 minutes
-
Field:
-
Em About rule, configure:
-
Name:
SSH Brute Force - Múltiplas Falhas de Autenticação -
Description:
Detecta 5 ou mais falhas de autenticação SSH do mesmo IP em 5 minutos -
Severity:
Medium -
Risk score:
47 -
MITRE ATT&CK: Tática
Credential Access, TécnicaT1110 - Brute Force
-
Name:
-
Em Schedule rule, configure:
-
Runs every:
5 minutes -
Additional look-back time:
1 minute
-
Runs every:
-
Clique em Create & enable rule
Quando a regra disparar, os alertas aparecem em:
Menu → Security → Alerts
Para cada alerta você pode:
- Ver os detalhes do evento que disparou a regra
- Navegar para o host ou usuário relacionado
- Adicionar a uma Timeline para investigação
- Criar um Case para acompanhamento
- Alterar o status do alerta: Open → Acknowledged → Closed
A Timeline é a ferramenta de investigação do Elastic Security. Ela permite construir uma narrativa cronológica de eventos relacionados a um incidente.
- Acesse Menu → Security → Alerts
- Clique no ícone de investigação ao lado de um alerta (ícone de relógio)
- Selecione Investigate in Timeline
A Timeline será criada automaticamente com o alerta e os eventos relacionados.
-
Query bar: adicione filtros para incluir ou excluir eventos — por exemplo, filtre por
host.namepara ver todos os eventos do host afetado no período - Adicionar eventos: arraste eventos da lista de resultados para a Timeline para incluí-los na narrativa
- Anotações: adicione comentários a eventos específicos para documentar suas observações
- Field browser: selecione quais campos exibir na tabela para facilitar a análise
Com o alerta de brute force na Timeline, adicione uma query para ver o que aconteceu depois das falhas — especificamente, se algum login foi bem-sucedido:
event.category: "authentication" and event.outcome: "success" and host.name: "<NOME_DO_HOST>"
Se você encontrar um login bem-sucedido logo após as falhas de autenticação, isso pode indicar que o ataque de brute force foi efetivo.
- Clique em Save para salvar a Timeline com um nome descritivo
- Clique em Attach to new case para criar um Case vinculado à investigação
- Preencha o título, descrição e severidade do Case
- Clique em Create case
- Acesse Menu → Security → Rules → Coverage Overview
- A matriz MITRE ATT&CK será exibida com:
- Células verdes: técnicas cobertas por regras habilitadas
- Células amarelas: técnicas com regras disponíveis mas não habilitadas
- Células vazias: técnicas sem cobertura
- Passe o mouse sobre cada célula para ver quais regras cobrem aquela técnica
- Clique em uma célula para abrir as regras correspondentes e habilitá-las diretamente
Esse mapa é uma ferramenta valiosa para comunicar a postura de segurança para gestores e para identificar lacunas prioritárias de detecção.