El equipo de Elastic Infosec Detections and Analytics es responsable de crear, ajustar y mantener las detecciones de seguridad utilizadas para proteger todos los sistemas Elastic. Dentro de Elastic nos llamamos Customer Zero y nos esforzamos por utilizar siempre las versiones más nuevas de nuestros productos. 

Descripción general del entorno Elastic Infosec

Muchos productos de ciberseguridad y controles de seguridad están diseñados para admitir una "red corporativa" tradicional con estaciones de trabajo y servidores en una red local, protegida por un firewall. Cuando se dispara una alerta y necesita realizar análisis forenses en un host, va físicamente al sistema para volcar la memoria y obtener una imagen del disco duro. En Elastic no somos una empresa "tradicional" por diseño, por lo que el equipo de Infosec tiene que ser innovador y flexible para asegurar Elastic sin intentar forzar a la empresa a meterse en un molde "en nombre de la seguridad". Afortunadamente, Elastic Stack es la solución perfecta para esto.

Elastic es una empresa mundial que se distribuye por diseño con clientes y empleados en más de 80 países de todo el mundo. La mayoría de nuestros empleados son 100% remotos y realizan su trabajo diario desde una computadora portátil propiedad de Elastic conectada a Internet, a través de redes que no son de confianza en todo el mundo. Como empresa de código abierto, nuestro código fuente está en GitHub y nuestros sistemas de integración continua y creación de software están basados ​​en la nube y son visibles públicamente para los colaboradores. Supervisar y realizar con éxito análisis forenses en esta red empresarial moderna y distribuida requiere recopilar la información correcta y tenerla disponible para los analistas en una única ubicación.

Acercándose a la infraestructura Elastic Infosec 

El equipo de Ingeniería de seguridad de Infosec (SecEng) crea y mantiene la colección de clústeres utilizando Elastic Cloud en Kubernetes y Helm para implementar la infraestructura y mantenerse actualizado. SecEng gestiona siete clústeres diferentes; Seis grupos de 'datos' con diferentes roles y un séptimo grupo de 'cabeza de búsqueda' como nuestro SIEM que usa CCS para consultar y alertar sobre los datos en todos los demás grupos. Se utiliza las versiones de pila más recientes y candidatos de lanzamiento con datos del mundo real, por lo que los desarrolladores de pila usarán regularmente nuestros clústeres para encontrar y solucionar problemas y mejorar la pila de Elastic para nuestros clientes. 

Una clave para poder monitorear y proteger con éxito cualquier organización es recopilar los datos correctos y poder buscarlos en una sola ubicación. No existe una única fuente de datos que tenga todo lo que necesita para Infosec. Un desafío común al que se enfrentan muchas organizaciones es registrar y almacenar los tipos de datos correctos, pero almacenar cada tipo de datos en su propia ubicación separada. A veces, los datos deben permanecer separados debido a diferentes niveles de confidencialidad o privacidad, a menudo las fuentes de datos pertenecen y son mantenidas por diferentes equipos y, a veces, se debe a los costos de transferir datos a una sola ubicación. Con el poder de CCS, podemos mantener los datos almacenados en grupos separados y aún buscar y alertar sobre esos datos desde una única interfaz de Kibana, lo que brinda a los analistas una imagen completa.

Con toda la información visible en una única ubicación, los analistas pueden crear sus entornos de detección, inteligencia de amenazas y respuesta a incidentes dentro del Elastic Stack. Al investigar una alerta, podemos usar Timelines en la aplicación Security para investigar una alerta consultando un valor en cada índice. Además de los cronogramas de la aplicación de seguridad, también utilizamos varios paneles personalizados de 'Investigación' para mostrar rápidamente la información que necesitamos de todos los índices. 

Nota completa desde el Blog de Elastic, link de acceso