Como analista de seguridad en el equipo de InfoSec de Elastic, un escenario común que vemos es que los usuarios vienen a nuestro equipo y preguntan: "¿Es seguro abrir este archivo?" O un usuario informa un correo electrónico de phishing con un archivo adjunto que no abrió, pero vemos en los registros que otros 10 usuarios también recibieron ese correo electrónico pero no lo informaron y no se activaron alertas en sus sistemas. Un ataque común que vemos son los correos electrónicos de phishing que contienen archivos adjuntos que no contienen código malicioso y, por lo tanto, no activan ninguna alerta, pero intentan hacer ingeniería social a un usuario para robar su contraseña.

En estas situaciones, el equipo de seguridad debe averiguar rápidamente qué ha ocurrido en uno de sus sistemas cuando se ejecuta un archivo para determinar si se habría detectado o detenido. Si no fue así, deben comprender rápidamente qué acciones se tomaron en el host. En estos casos, el equipo de seguridad debe tener una caja de arena de máquina virtual (VM) bien instrumentada que pueda usar para ejecutar de manera segura el archivo en cuestión y observar lo que sucede. El equipo de Elastic InfoSec siempre está superando los límites con los productos Elastic como parte de nuestro esfuerzo de Customer Zero, por lo que decidimos construir una caja de arena con productos Elastic.

En esta publicación de blog, demostraré cómo el equipo de Elastic InfoSec usa Fleet y Elastic Security como un entorno de pruebas de malware completamente instrumentado. Elastic no solo es un ajuste natural para instrumentar y recopilar datos de una caja de arena, sino que también es fácil de construir y se puede crear en minutos.

Nota completa desde el Blog oficial de Elastic