# Elastic Security > SIEM / EDR · Vendor: [[_elastic|Elastic]] > [!latam] Presença no Brasil e LATAM > O Elastic Security tem adoção expressiva em SOCs governamentais brasileiros, PMEs da região e provedores de serviços gerenciados (MSSPs) graças ao modelo open-core com tier gratuito. O repositório público **elastic/detection-rules** é amplamente adaptado por times de segurança no Brasil para cobertura de ameaças locais como **LockBit** e **Grandoreiro**. A comunidade LATAM contribui regras mapeadas ao ATT&CK em português. ## Visão Geral **Elastic Security** é a solução de SIEM e EDR integrados da [[_elastic|Elastic]], construída sobre o motor de busca e análise do Elasticsearch. A plataforma combina ingestão escalável de logs, detecção baseada em regras, análise comportamental por machine learning e proteção de endpoint em uma única interface unificada via Kibana. **Dados do produto:** - Categoria: SIEM + EDR (combinado) - Vendor: [[_elastic|Elastic]] - Linguagens de consulta: EQL (detecção e hunting) + KQL (filtros e dashboards) - Integração com formatos: Sigma, STIX, YARA - Detection rules: open source - [elastic/detection-rules](https://github.com/elastic/detection-rules) - Presença no Brasil/LATAM: Alta - popular em SOCs governamentais e PMEs por tier gratuito ## Vulnerabilidades Conhecidas <!-- Static table for Obsidian Publish --> | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | Nenhuma CVE catalogada | - | - | - | - | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Elastic Security") SORT patch-daté DESC ``` %% ## Query Languages O Elastic Security oferece duas linguagens de consulta complementares, cada uma otimizada para um caso de uso distinto: ### 1. EQL - Event Query Language Desenvolvida internamente pela Elastic, o **EQL** é uma linguagem de consulta projetada específicamente para segurança. Seu diferencial mais importante é o suporte a **sequências de eventos** - permitindo expressar padrões de ataque multi-etapa em uma única query. ```eql -- Exemplo: Detectar cmd.exe filho de processo Word (macro maliciosa) sequence by process.entity_id [process where process.name == "winword.exe"] [process where process.name == "cmd.exe"] ``` ```eql -- Exemplo: Detectar dump de credenciais via acesso ao LSASS sequence by host.id [process where process.name == "lsass.exe"] [process where process.parent.name == "cmd.exe" and process.name == "rundll32.exe"] ``` ```eql -- Exemplo: Detectar exfiltração via DNS (muitas queries para domínio externo) sequence by source.ip with maxspan=5m [dns where dns.question.name != null] with runs=20 ``` O EQL suporta também funções de agregação, `until` para delimitar jánelas de correlação, e `join` para correlação entre hosts distintos - ideal para análise de movimentação lateral. ### 2. KQL - Kibana Query Language O **KQL** é uma linguagem mais simples, orientada a filtros, amplamente utilizada em dashboards e buscas rápidas no Kibana. Não suporta sequências, mas tem sintaxe intuitiva para analistas que estão iniciando. ``` -- Detectar PowerShell com argumento de download process.name: "powershell.exe" and process.args: "*DownloadString*" ``` ``` -- Filtrar eventos de rede para IPs suspeitos network.direction: "outbound" and destination.port: (443 or 4444 or 8443) ``` ``` -- Buscar modificações em chaves de registro de startup registry.path: "*\\CurrentVersion\\Run*" and event.type: "change" ``` **Guia de uso:** - Use **EQL** para escrever regras de detecção, threat hunting com correlação temporal, e análise forense de incidentes - Use **KQL** para filtros em dashboards, buscas ad-hoc e refinamento de resultados em investigações ## Detection Rules no GitHub O repositório **[elastic/detection-rules](https://github.com/elastic/detection-rules)** contém centenas de regras de detecção cobrindo categorias de ameaças do MITRE ATT&CK, todas disponíveis públicamente sob licença Elastic License 2.0. **Como usar para CTI na RunkIntel:** 1. Para cada CVE catalogada no vault, verificar se existe uma regra correspondente no repositório 2. Mapear as regras existentes por tática MITRE para identificar gaps de cobertura 3. Contribuir regras customizadas derivadas de análise de campanhas mapeadas no vault **Exemplos de CVEs com regras Elastic públicas:** - [[cve-2021-44228|CVE-2021-44228]] (Log4Shell) - regras EQL para detecção de JNDI lookup em logs de aplicação e spawn de processos suspeitos pós-exploração - [[cve-2023-34362|CVE-2023-34362]] (MOVEit Transfer) - regras para detecção de webshell e acesso não autorizado ao banco de dados > [!tip] Integração com Sigma > O repositório elastic/detection-rules inclui conversores para formato Sigma - permitindo que regras da comunidade Sigma sejam importadas diretamente para o Elastic Security, e vice-versa. ## Integração com Ameaças O Elastic Security é uma das ferramentas de defesa mais documentadas para detecção dos principais grupos de ameaça e malware: **[[s0154-cobalt-strike]]** - O Elastic Security Labs públicou assinaturas YARA específicas para detecção de beacons Cobalt Strike em memória, incluindo variantes com payloads empacotados e ofuscados. O YARA scanning via Elastic Agent detecta o beacon mesmo quando ferramentas baseadas em hash falham. **[[s0559-sunburst]]** - Após o incidente SolarWinds em 2020, o Elastic públicou regras de detecção EQL cobrindo o comportamento do [[s0559-sunburst]] em endpoints, incluindo a técnica de DLL hijacking e comunicação C2 via DNS. Um caso exemplar de resposta comunitária rápida via regras open source. **[[lockbit]]** - Regras EQL para detecção de comportamento de pré-criptografia: enumeração de compartilhamentos, exclusão de shadow copies e modificação em massa de arquivos em sequência. **[[g0007-apt28|APT28 / Fancy Bear]]** - Regras cobrindo técnicas de persistência e exfiltração documentadas em campanhas do grupo russo, incluindo uso de ferramentas living-off-the-land (LOLBins). **[[g0032-lazarus-group|Lazarus Group]]** - Análise de loaders utilizados pelo grupo norte-coreano em campanhas contra o setor financeiro e de criptomoedas, com regras para detecção de padrões de injeção de processo. ## Machine Learning e Detecção Comportamental O Elastic Security inclui jobs de machine learning pré-treinados para detecção de anomalias sem necessidade de assinatura: - **Anomalia de volume de DNS**: Detecta hosts com volume anormal de queries DNS - indicativo de exfiltração via DNS tunneling - **Anomalia de acesso privilegiado**: Identifica usuários com padrões de acesso a recursos sensíveis fora do normal - **Análise de sequência de comandos**: Detecta execuções de linha de comando incomuns baseadas em histórico do ambiente - **Detecção de beaconing de rede**: Identifica padrões periódicos de comunicação de rede característicos de malware C2 ## Notas Relacionadas **Vendor:** [[_elastic|Elastic]] **Malware detectado:** [[s0154-cobalt-strike]] · [[s0559-sunburst]] · [[lockbit]] **Atores monitorados:** [[g0007-apt28|APT28 / Fancy Bear]] · [[g0032-lazarus-group|Lazarus Group]] · [[g0016-apt29|APT29 / Cozy Bear]] **CVEs referênciados:** [[cve-2021-44228|CVE-2021-44228]] · [[cve-2023-34362|CVE-2023-34362]] **TTPs relevantes:** [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1566-phishing|T1566 - Phishing]] · [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] · [[t1071-application-layer-protocol|T1071.004 - Application Layer Protocol: DNS]] **Setores:** [[financial]] · [[government]] · [[technology]]