Elastic Security: SIEM + EDR Open Source con Elastic Agent

Elastic Security: la apuesta open source

Elastic Security es la propuesta de Elastic (creadores de Elasticsearch) para unificar SIEM y EDR en una sola plataforma. La premisa es que la separación entre SIEM (correlación de logs) y EDR (protección de endpoint) es artificial: ambos trabajan con la misma telemetría y buscan las mismas amenazas.

Lo que hace a Elastic Security diferente del resto de EDR comerciales es la transparencia. Las reglas de detección son open source y visibles en GitHub. El motor de búsqueda es Elasticsearch, uno de los motores de búsqueda más usados del mundo. Y la plataforma puede desplegarse on-premise, en cloud propio, o en Elastic Cloud, dando al usuario control total sobre sus datos.

Arquitectura: Elastic Agent como centro

Elastic Agent

Elastic Agent es el agente unificado que Elastic despliega en endpoints. A diferencia de Beats (los agentes anteriores de Elastic que requerían uno diferente por función), Elastic Agent es un solo agente que gestiona múltiples integraciones:

Endpoint Security. La integración EDR que monitoriza procesos, archivos, red, registro, y proporciona capacidades de prevención y detección.

System integration. Recopila métricas del sistema (CPU, memoria, disco, red) y logs del sistema operativo (syslog, Windows Event Log).

Otras integraciones. El mismo agente puede recopilar logs de aplicaciones (Apache, Nginx, MySQL), datos de cloud (AWS, Azure, GCP), y cualquiera de las más de 300 integraciones disponibles en el catálogo de Elastic.

Fleet para gestión centralizada. Fleet es el componente de Kibana que gestiona los Elastic Agents desplegados. Permite:

• Actualización remota de agentes
• Asignación de políticas (qué integraciones activas en cada grupo de endpoints)
• Monitorización del estado del agente
• Despliegue de nuevas integraciones sin tocar el endpoint

Endpoint Security integration

La integración Endpoint Security dentro de Elastic Agent proporciona las capacidades EDR:

Telemetría recopilada:

Tipo	Eventos en Windows	Eventos en macOS/Linux
Procesos	Creación, terminación, línea de comando, DLLs	Creación, terminación, línea de comando
Archivos	Creación, modificación, eliminación, renombrado	Creación, modificación, eliminación
Red	Conexiones TCP/UDP, DNS queries	Conexiones TCP/UDP, DNS queries
Registro	Creación/modificación de claves y valores	N/A
Login	Login success/failure, tipo de login	Login success/failure
Módulos	Carga de DLLs con hash y firma	Carga de shared objects

Capacidades de prevención (requieren licencia Platinum+):

• Malware prevention. Modelo de ML que clasifica ejecutables antes de ejecución. Similar al Static AI de SentinelOne o al antivirus de MDE.
• Ransomware prevention. Detección de patrones de ransomware (cifrado masivo de archivos, eliminación de shadow copies) con bloqueo automático.
• Memory threat prevention. Detección de shellcode en memoria, process injection, y técnicas fileless.
• Behavioral protection. Reglas de comportamiento que bloquean técnicas de ataque específicas.

Capacidades de respuesta (requieren licencia Platinum+):

• Aislamiento de red del endpoint
• Ejecución remota de comandos (osquery live queries)
• Recolección de archivos para análisis
• Terminación de procesos
• Suspensión de procesos

Elasticsearch como backend

Toda la telemetría se indexa en Elasticsearch. Esto tiene implicaciones directas:

Ventajas:

• Elasticsearch es uno de los motores de búsqueda más rápidos para datos semi-estructurados
• Búsquedas full-text sobre líneas de comando, paths, y cualquier campo de texto
• Agregaciones complejas para estadísticas y dashboards
• Retención configurable por el usuario (no depende del vendor)
• Escalabilidad horizontal añadiendo nodos al cluster

Consideraciones:

• Elasticsearch requiere hardware significativo. Un cluster para telemetría de seguridad de cientos de endpoints necesita múltiples nodos con SSD y memoria abundante.
• La gestión del cluster (sharding, replicas, ILM policies, capacity planning) requiere experiencia.
• El coste de infraestructura self-hosted puede ser comparable al de un EDR cloud comercial cuando se cuenta hardware, administración y tiempo de operación.

Reglas de detección: open source y prebuilt

Elastic Detection Rules

Elastic mantiene un repositorio público de reglas de detección en GitHub (elastic/detection-rules). Estas reglas se actualizan regularmente y cubren técnicas ATT&CK para Windows, macOS y Linux.

Tipos de reglas:

Custom Query (KQL/EQL). Reglas que ejecutan una búsqueda en los datos indexados. Si la búsqueda devuelve resultados, se genera una alerta.

process.name : "certutil.exe" and process.args : ("urlcache" or "split" or "encode")

EQL (Event Query Language). Lenguaje de correlación temporal que detecta secuencias de eventos:

sequence by host.id with maxspan=1m
  [process where process.name == "cmd.exe" and process.parent.name == "winword.exe"]
  [network where destination.port == 443 and not cidrmatch(destination.ip, "10.0.0.0/8")]

Esta regla detecta: Word lanza cmd.exe, y dentro del siguiente minuto, hay una conexión de red saliente a un puerto 443 externo desde el mismo host. Secuencia clásica de documento malicioso con descarga de payload.

Machine Learning jobs. Reglas que usan trabajos de ML de Elasticsearch para detectar anomalías: login a horas inusuales, proceso ejecutado por primera vez en un host, volumen de tráfico DNS anómalo.

Threshold rules. Reglas que alertan cuando un evento supera un umbral: más de 100 intentos de login fallidos en 5 minutos, más de 50 archivos modificados por un proceso en 1 minuto.

New Terms rules. Detectan cuando aparece un valor nuevo que no se ha visto antes: un nuevo proceso ejecutado en un servidor, un nuevo dominio contactado por un endpoint.

Categorías de reglas disponibles

El repositorio de reglas de Elastic incluye más de 900 reglas organizadas por sistema operativo y técnica ATT&CK:

• Windows. Más de 600 reglas que cubren persistencia, ejecución, escalada de privilegios, evasión de defensas, credential access, discovery, lateral movement, collection, exfiltration, C2, e impact.
• Linux. Más de 150 reglas para detección en servidores y workstations Linux.
• macOS. Más de 80 reglas.
• Cloud. Reglas para AWS, Azure, GCP, Google Workspace, Microsoft 365.

Transparencia de reglas

La transparencia de las reglas es un diferenciador clave de Elastic Security. Cada regla publicada incluye:

• Descripción de qué detecta y por qué
• Query completa (KQL, EQL, o Lucene)
• Mapeo MITRE ATT&CK (táctica, técnica, subtécnica)
• Severidad y nivel de riesgo
• Falsos positivos conocidos
• Referencias a investigaciones de amenazas

Cualquier analista puede leer la regla, entender exactamente qué busca, modificarla para su entorno, o usarla como base para crear reglas personalizadas. Esto contrasta con vendors como CrowdStrike o SentinelOne, donde las reglas de detección son cajas negras: sabes que detectan algo, pero no exactamente cómo.

ES|QL: el nuevo lenguaje de hunting

ES|QL (Elasticsearch Query Language) es el lenguaje de consulta más reciente de Elastic, diseñado para análisis de seguridad. Es una alternativa más potente a KQL para hunting:

Queries de hunting con ES|QL

Buscar procesos sospechosos lanzados desde Office:

FROM logs-endpoint.events.process-*
| WHERE process.parent.name IN ("winword.exe", "excel.exe", "powerpnt.exe")
  AND process.name IN ("cmd.exe", "powershell.exe", "wscript.exe", "mshta.exe")
| STATS count = COUNT(*) BY host.name, process.name, process.command_line
| SORT count DESC
| LIMIT 50

Detectar beaconing por análisis de intervalos:

FROM logs-endpoint.events.network-*
| WHERE event.action == "connection_attempted" 
  AND NOT CIDR_MATCH(destination.ip, "10.0.0.0/8", "172.16.0.0/12", "192.168.0.0/16")
| STATS connection_count = COUNT(*), 
        first_seen = MIN(@timestamp), 
        last_seen = MAX(@timestamp)
  BY host.name, destination.ip, process.name
| WHERE connection_count > 50
| SORT connection_count DESC

Buscar archivos ejecutables creados en rutas temporales:

FROM logs-endpoint.events.file-*
| WHERE event.action == "creation" 
  AND file.extension IN ("exe", "dll", "scr", "bat", "ps1")
  AND file.path LIKE "*\\Temp\\*"
| STATS count = COUNT(*) BY host.name, process.name, file.name, file.path
| SORT count DESC

ES|QL vs KQL vs EQL

Elastic tiene tres lenguajes de consulta, lo que puede generar confusión:

| Aspecto | KQL | EQL | ES|QL | |---|---|---|---| | Uso principal | Filtrado en Kibana | Correlación temporal | Hunting y analytics | | Secuencias | No | Sí (con sequence) | No nativo (se puede emular) | | Agregaciones | No | No | Sí (STATS, GROUP BY) | | Pipelines | No | Sí (pipe) | Sí (pipe) | | Complejidad | Baja | Media | Media-alta | | Recomendado para | Filtros rápidos | Reglas de detección secuencial | Hunting exploratorio |

Para hunting, ES|QL es la opción más potente. Para reglas de detección que necesitan correlación temporal (secuencias de eventos), EQL sigue siendo necesario.

Timeline: investigación de incidentes

Timeline es la herramienta de investigación de Elastic Security. Funciona como un workspace donde el analista construye la narrativa del incidente:

Funcionalidades:

• Drag and drop. Arrastra eventos, alertas, hosts, usuarios a la timeline para construir la investigación.
• Notas. Añade notas a eventos individuales o a la timeline completa.
• Filtros dinámicos. Filtra la timeline por campo, valor, rango temporal.
• KQL y EQL inline. Ejecuta queries directamente en la timeline para encontrar eventos adicionales.
• Correlación visual. Los eventos se muestran en orden cronológico con indicadores visuales de severidad y tipo.

Cases: gestión de incidentes

Elastic Security incluye un módulo de Cases para gestión de incidentes:

• Crear casos manualmente o desde alertas/incidentes
• Asociar timelines, alertas, y artefactos al caso
• Asignar a analistas y seguir el estado
• Integración con herramientas ITSM (ServiceNow, Jira, Swimlane) para escalación
• Exportación del caso con toda la evidencia

Osquery: live queries en endpoints

Elastic Security integra osquery, la herramienta open source de Facebook para consultar el estado de endpoints usando SQL:

-- Procesos con conexiones de red activas
SELECT p.name, p.pid, p.cmdline, pa.remote_address, pa.remote_port
FROM processes p
JOIN process_open_sockets pa ON p.pid = pa.pid
WHERE pa.remote_address != '127.0.0.1'
AND pa.remote_address != '::1'
ORDER BY p.name;

-- Autorun entries
SELECT name, path, source
FROM autoexec
ORDER BY source;

-- Archivos recientes en directorio temporal
SELECT filename, path, size, mtime
FROM file
WHERE directory = 'C:\Users\*\AppData\Local\Temp'
AND mtime > (strftime('%s', 'now') - 86400);

Las queries osquery se ejecutan en tiempo real en endpoints seleccionados a través de Fleet, sin necesidad de acceso directo al endpoint. Es una herramienta poderosa para investigación forense y threat hunting.

Free vs Paid: qué incluye cada tier

Basic (Gratuito)

Capacidad	Incluido
SIEM (detección, alertas, dashboards)	Sí
Reglas de detección prebuilt	Sí (subconjunto)
EQL y KQL	Sí
ES	QL
Timeline	Sí
Cases	Sí
Elastic Agent telemetría	Sí
Endpoint prevención malware	No
Endpoint ransomware prevention	No
Endpoint memory protection	No
Response actions (isolate, kill)	No
ML anomaly detection	No
Osquery live queries	No

Platinum

Añade sobre Basic:

• Endpoint prevention (malware, ransomware, memory)
• Response actions (network isolation, process kill, file retrieval)
• ML anomaly detection jobs
• Osquery manager
• Alerting connectors avanzados

Enterprise

Añade sobre Platinum:

• Searchable snapshots (retención de largo plazo económica)
• Cross-cluster search
• Soporte premium

Elastic Cloud Serverless (Security)

Elastic ofrece Elastic Cloud Serverless como alternativa gestionada. Se factura por volumen de datos ingestados y retención. Elimina la gestión del cluster pero con coste por GB que puede ser significativo para volúmenes altos de telemetría.

Fortalezas y debilidades

Fortalezas técnicas

Transparencia total. Reglas de detección open source, motor de búsqueda open source, documentación completa. Sabes exactamente qué detecta tu EDR y cómo. Puedes auditar, modificar, y contribuir.

Flexibilidad de despliegue. On-premise, cloud propio, Elastic Cloud, o híbrido. Control total sobre dónde residen tus datos. Para organizaciones con requisitos de soberanía estrictos, self-hosted es una opción real.

SIEM + EDR unificado. Una sola plataforma para logs de seguridad (firewall, VPN, proxy, cloud, identity) y telemetría de endpoint. Sin necesidad de integrar productos separados.

Retención ilimitada. Self-hosted, la retención depende de tu almacenamiento. Con ILM (Index Lifecycle Management) y searchable snapshots, puedes mantener años de telemetría consultable a coste razonable.

Comunidad y ecosistema. Elasticsearch tiene una de las comunidades más grandes en tecnología de datos. Recursos de aprendizaje, foros, conferencias, y un ecosistema de integraciones enorme.

EQL para correlación temporal. Event Query Language permite escribir reglas que detectan secuencias de eventos con ventanas temporales. Es más expresivo que las queries simples de la mayoría de EDR comerciales para detección de cadenas de ataque multi-paso.

Debilidades y consideraciones

Esfuerzo operativo. Elastic Security self-hosted requiere gestión de un cluster Elasticsearch: sizing, sharding, réplicas, upgrades, backups, monitorización. Esto necesita un equipo con experiencia en Elastic o coste de Elastic Cloud.

Capacidades EDR en free tier. El tier gratuito no incluye prevención de malware, ransomware protection, ni response actions. Es esencialmente un SIEM con telemetría de endpoint, no un EDR protector. Para protección real, necesitas Platinum.

No hay managed hunting. A diferencia de CrowdStrike OverWatch o SentinelOne Vigilance, Elastic no ofrece un servicio de managed threat hunting nativo. La operación es 100% responsabilidad del cliente (o de un MSSP tercero).

Curva de aprendizaje. Tres lenguajes de consulta (KQL, EQL, ES|QL), más la complejidad de Elasticsearch y Kibana, crean una curva de aprendizaje pronunciada. Analistas acostumbrados a consolas más enfocadas pueden encontrar Elastic Security abrumador.

Agente menos maduro. El Elastic Agent y su integración Endpoint Security son más recientes que los agentes de CrowdStrike, SentinelOne o Microsoft. Las capacidades de prevención (malware ML, memory protection) están evolucionando rápidamente pero todavía no igualan la madurez de los líderes del mercado en evaluaciones independientes.

Caso de uso: SIEM + EDR para detectar lateral movement

Escenario: Un atacante compromete un endpoint y se mueve lateralmente. La organización usa Elastic Security con telemetría de endpoint y logs de firewall.

Fase 1: Detección en endpoint. Una regla EQL de Elastic detecta la secuencia: explorer.exe → mshta.exe → powershell.exe con descarga de payload. La regla genera una alerta mapeada a T1218.005 (Mshta).

Fase 2: Correlación SIEM. Los logs del firewall (ingestados via Filebeat o Elastic Agent) muestran tráfico desde el endpoint comprometido hacia un servidor interno en un puerto inusual. Una regla de threshold detecta más de 20 conexiones SMB desde el mismo origen en 5 minutos.

Fase 3: Hunting con ES|QL. El analista ejecuta una query para buscar procesos ejecutados remotamente en los servidores destino:

FROM logs-endpoint.events.process-*
| WHERE process.parent.name == "wmiprvse.exe" 
  AND @timestamp > NOW() - 1 HOUR
| STATS count = COUNT(*) BY host.name, process.name, process.command_line

Fase 4: Respuesta. El analista aísla el endpoint comprometido, ejecuta osquery live queries en los servidores potencialmente afectados para verificar artefactos, y crea un Case con toda la evidencia.

Fase 5: Detección mejorada. El analista escribe una nueva regla EQL basada en la secuencia observada y la contribuye al repositorio de reglas de la organización. La regla se activa en producción para detectar variantes futuras del mismo ataque.

Este flujo ilustra la ventaja de SIEM + EDR unificado: la correlación entre telemetría de endpoint y logs de red ocurre en la misma plataforma, con el mismo lenguaje de consulta, sin necesidad de saltar entre herramientas.