5.8 - Antivírus Elasticsearch

5.8 - Antivírus Elasticsearch


Elastic Stack fornece recursos de análise de segurança que são amplamente usados para detecção de ameaças, visibilidade e resposta a incidentes. A velocidade e escala com que o Elasticsearch pode indexar e pesquisar informações relativas à segurança permitem que os analistas de segurança trabalhem com mais eficiência, enquanto os painéis Kibana oferecem ampla visibilidade e permitem busca interativa de ameaças. E o motor de aprendizado de máquina pode automatizar a análise de conjuntos de dados complexos, possibilitando identificar invasores que de outro modo passariam despercebidos.

Os conhecidos IDSs (sistemas de detecção de invasão), como Wazuh ou Suricata, usam uma abordagem baseada em assinaturas à detecção de ameaças. Isso significa que eles comparam padrões encontrados em arquivos, logs e tráfego de rede com um banco de dados de padrões notadamente associado a atividade maligna, alertando quando é encontrada uma coincidência. Eles fornecem conjuntos de regras úteis para analisar e correlacionar dados, normalmente gerando milhares ou milhões de alertas por dia em um ambiente de produção.

Wazuh, normalmente implementado juntamente com o Elastic Stack, é um sistema HIDS (sistema de detecção de invasões baseado em host) de código-fonte aberto. Ele oferece recursos de análise de log, monitoramento de integridade de arquivos, detecção de rootkit e vulnerabilidade, avaliação de configuração e resposta a incidentes. A arquitetura de solução do Wazuh tem como base agentes leves multiplataforma que são executados em sistemas monitorados, gerando relatórios para um servidor centralizado no qual é feita a análise dos dados. Além disso, ele fornece um plugin Kibana completo para gerenciamento de configurações, monitoramento de status, consultas e visualização de dados de alertas.

Em contrapartida, o Suricata é um motor de detecção de ameaças de rede gratuito e de código-fonte aberto, com capacidade de NIDS (detecção de invasões de rede em tempo real), NIPS (prevenção de invasões em linha), NSM (monitoramento de segurança de rede) e processamento pcap offline. O Suricata inspeciona o tráfego de rede usando suas próprias regras e linguagem de assinatura para procurar ameaças conhecidas, violações a políticas e comportamentos malignos, além de oferecer suporte a scripts para detecção de ameaças complexas.

Nesta postagem de blog, forneceremos uma visão geral de como detectar invasões usando uma integração do Wazuh e Suricata em combinação com os trabalhos de aprendizado de máquina do Elastic para ajudar a priorizar as investigações.


A prevenção contra malware agora está integrada ao Elastic Agent, adicionando uma importante camada de proteção à coleta de dados de endpoint. Ela interrompe imediatamente os executáveis mal-intencionados nos endpoints do Windows e do macOS. Em sua última rodada de testes, a AV-Comparatives constatou que o modelo de machine learning do Elastic Security bloqueia 99,6% do malware e dispara zero falsos positivos em software de negócios comum. A ativação do antimalware é feita com apenas um clique no Kibana.

A centralização dos dados de endpoint de todo o ambiente e o fornecimento de mais contexto permitem às organizações acelerar a detecção de ameaças, a triagem de alertas e a resposta a incidentes. Com a velocidade e a escala do Elastic Security, você pode analisar rapidamente dados detalhados de endpoint, examinar e contextualizar informações com visualizações interativas, e integrar fluxos de trabalho de resposta com orquestração externa e ferramentas de tíquetes, como plataformas de SOAR.
Elastic Endpoint Security, possibilita prevenção, detecção e resposta a ameaças de endpoint com base na tabela MITRE ATT&CK™. A Elastic está combinando o SIEM e a segurança de endpoint em uma única solução para permitir que as organizações respondam automaticamente e com flexibilidade às ameaças em tempo real, seja na nuvem, no local ou em ambientes híbridos. A Elastic também está anunciando hoje que está eliminando o custo da segurança para os endpoints.
O Elastic Security para endpoint previne ransomware e malware, detecta ameaças avançadas e proporciona aos respondentes um contexto investigativo vital. Tudo em uma plataforma aberta, para infraestrutura e hosts em todos os lugares.
Duas tendências cruciais na segurança de endpoint — a importância de um forte back-end de análise de dados e a ascensão da estrutura MITRE ATT&CK como língua franca — ajudam a argumentar a favor de uma maior ênfase nos casos de uso de detecção de ameaças e de resposta a incidentes

O Endpoint Security acrescenta uma das mais robustas fontes de dados de segurança de endpoint, dados brutos de eventos de endpoint e alertas ao Elastic Stack, que se unem aos recursos existentes de logging, segurança, APM e coleção de eventos de infraestrutura. Com o tempo médio de repouso de ameaças superando os 100 dias, o envio, o escalonamento e o armazenamento de dados de maneira eficiente no Elasticsearch torna prática, fácil e rápida a busca por todos esses dados distintos relativos à segurança. A segurança de endpoint é um recurso perfeito para o Elastic Stack oferecer prevenção contra ameaças e a mais rápida detecção e resposta para interromper ataques logo nas etapas iniciais.

Ao implantar um agente de coleta de dados para o Elastic SIEM, você pode proteger o endpoint simultaneamente e eliminar a ineficiência de várias soluções que não conseguem responder em tempo hábil para evitar danos e prejuízos.

O objetivo é parar os ataques logo no início. Isso exige as melhores medidas de prevenção e as detecções de mais alta fidelidade no endpoint. A combinação da tecnologia de proteção de endpoint líder de mercado da Endgame com o Elastic SIEM cria um espaço de trabalho interativo para que as equipes de operações de segurança e de detecção de ameaças interrompam os ataques e protejam suas organizações.

A prevenção contra malware agora está integrada ao Elastic Agent, adicionando uma importante camada de proteção à coleta de dados de endpoint

Se você quiser saber mais sobre este assunto, clique aqui.

Deseja mais informação sobre segurança? Clique nos links e confira tudo sobre security.




    • Related Articles

    • 3.4 - Firewall - Antivírus RabbitMQ

      Como tornar o RabbitMQ seguro? Abordagens comuns para TLS para conexões de clientes com RabbitMQ. Para conexões de clientes, há duas abordagens comuns: Configure o RabbitMQ para lidar com conexões TLS. Use um proxy ou balanceador de carga (como ...

    • 5 - Elasticsearch - Mecanismo de Busca

      Introdução É uma ferramenta de busca altamente escalável, gratuita e Open Source, construída em linguagem Java sobre o Lucine, é uma API de indenização de documentos. Mais especificamente usado para armazenar, buscar, analisar grandes volumes de ...

    • 5.1 - Boas Práticas e Desempenho Elasticsearch

      Elasticsearch é um software open source, que provê uma interface RESTful de pesquisa e análise de dados capaz de solucionar um número crescente de casos de uso. Ele suporta um grande volume de dados sem perder performance, pode ser implementado em ...

    • 5.7 - Firewall - Elasticsearch

      Configurando o Firewall Para uma implantação do Orchestrator que funcione corretamente, você deve garantir que todas as portas necessárias estejam abertas no seu firewall para permitir a comunicação entre todos os componentes, conforme exibido neste ...

    • 5.6 - Politicas de Retenção Elasticsearch

      Retenção de dados Ao configurar um sistema de análise de log e métricas, é extremamente importante definir sua política de retenção de dados, pois o Elasticsearch não pode armazenar todos os dados que você possui, o que pode resultar em perda de ...