# Elastic > Security vendor · Sede: Mountain View, California, EUA · Presença LATAM: Sim ## Visão Geral **Elastic** (anteriormente Elasticsearch BV) é a empresa criadora da **ELK Stack** - conjunto de ferramentas open source formado por Elasticsearch, Logstash e Kibana. Fundada em 2012 e com IPO na NYSE em 2018, a Elastic evoluiu de uma solução de busca full-text para uma plataforma de observabilidade e segurança empresarial utilizada por milhares de organizações em todo o mundo. **Dados do vendor:** - Tipo: Security vendor - criador da ELK Stack e da plataforma Elastic Security (SIEM/EDR) - Sede: Mountain View, California, EUA - Fundação: 2012 · IPO: 2018 - Website: https://www.elastic.co - Presença no Brasil/LATAM: Sim - popular em SOCs governamentais e de PMEs por disponibilidade open source - Principais setores atendidos: [[financial]], [[government]], [[technology]], [[healthcare|saúde]] O **Elastic Agent** substituiu os Beats (Filebeat, Winlogbeat, etc.) como solução unificada de coleta de dados, simplificando o deployment em endpoints e servidores para alimentar o [[elastic-security|Elastic Security]]. ## Produtos <!-- Static table for Obsidian Publish --> | Produto | Categoria | Destaques | |---------|-----------|-----------| | [[elastic-security\|Elastic Security]] | siem-edr | SIEM + EDR unificados, EQL, detection rules open source no GitHub | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Produto", product-category AS "Categoria" FROM "vendors/elastic" WHERE type = "product" SORT title ASC ``` %% ## Diferenciais A Elastic diferencia-se no mercado de segurança por um modelo único que combina open source com capacidades empresariais: - **Detection Rules Open Source**: Centenas de regras de detecção cobrindo o MITRE ATT&CK disponíveis públicamente no repositório [elastic/detection-rules](https://github.com/elastic/detection-rules) no GitHub. Equipes de SOC podem contribuir, auditar e customizar regras sem custo de licença. - **EQL (Event Query Language)**: Linguagem de consulta de segurança com suporte a sequências de eventos - desenvolvida internamente na Elastic e otimizada para detecção de padrões de ataque multi-etapa. - **Tier gratuito disponível**: Diferente da maioria dos competidores enterprise, o Elasticsearch e o Kibana possuem licenciamento gratuito (basic) com funcionalidades relevantes para SOCs com orçamento limitado - fator crítico para adoção no Brasil e LATAM. - **Kibana**: Motor de visualização poderoso com dashboards customizáveis para monitoramento de segurança, análise de logs e threat hunting. - **Integração com YARA**: O Elastic Security suporta scanning de memória com regras YARA para detecção de malware em tempo real. ## Inteligência de Ameaças O **Elastic Security Labs** é o braço de pesquisa de ameaças da Elastic, responsável por análises técnicas de malware sofisticado e públicação de detecções abertas à comunidade. Publicações notáveis incluem: - **Assinaturas de memória do [[s0154-cobalt-strike]]**: O Elastic Security Labs públicou assinaturas YARA detalhadas para detecção de beacons do Cobalt Strike em memória, mesmo quando o payload está ofuscado ou empacotado. - **TTPs do [[g0032-lazarus-group|Lazarus Group]]**: Análise técnica de loaders e implantes utilizados em campanhas do grupo norte-coreano, com mapeamento completo para MITRE ATT&CK. - **Campanhas do [[g0007-apt28|APT28 / Fancy Bear]]**: Pesquisas sobre técnicas de acesso inicial e persistência do grupo russo, com regras de detecção EQL públicadas como open source. - **Regras YARA para famílias de malware**: Publicação regular de regras YARA cobrindo novas famílias de malware identificadas pela equipe de pesquisa. ## Presença LATAM/Brasil A disponibilidade open source da ELK Stack é o principal driver de adoção no Brasil e em toda a América Latina. Organizações com orçamentos limitados - incluindo órgãos governamentais de menor porte, hospitais públicos e PMEs - utilizam o Elasticsearch como plataforma de SIEM sem custo de licença, complementando com o [[elastic-security|Elastic Security]] para capacidades EDR. **Setores com maior adoção no Brasil:** - [[government]] - SOCs de órgãos públicos federais e estaduais com restrições orçamentárias - [[technology]] - startups e empresas de software com equipes de segurança enxutas - [[financial]] - fintechs e cooperativas de crédito que preferem soluções open source auditáveis A ampla adoção do Elasticsearch em ambientes críticos brasileiros também cria riscos: instâncias mal configuradas do Elasticsearch têm sido frequentemente identificadas em exposições de dados - servidores sem autenticação expostos na internet são alvos comuns de grupos de extorsão. ## Advisories e Recursos - [Elastic Security Labs](https://www.elastic.co/security-labs/) - [elastic/detection-rules no GitHub](https://github.com/elastic/detection-rules) - [Elastic Security Documentation](https://www.elastic.co/guide/en/security/current/index.html) - [EQL Reference](https://www.elastic.co/guide/en/elasticsearch/reference/current/eql.html) ## Notas Relacionadas **Produtos:** [[elastic-security|Elastic Security]] **Malware pesquisado:** [[s0154-cobalt-strike]] · [[s0559-sunburst]] · [[lockbit]] **Atores monitorados:** [[g0032-lazarus-group|Lazarus Group]] · [[g0007-apt28|APT28 / Fancy Bear]] · [[g0016-apt29|APT29 / Cozy Bear]] **TTPs relevantes:** [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Setores:** [[financial]] · [[government]] · [[technology]] · [[healthcare|saúde]]