La capacidad de los equipos de seguridad para integrar datos de amenazas en sus operaciones ayuda sustancialmente a su organización a identificar eventos de red y terminales potencialmente maliciosos utilizando indicadores identificados por otros equipos de investigación de amenazas. En este blog, cubriremos cómo ingerir datos de amenazas con el módulo Threat Intel Filebeat . En futuras publicaciones de blog, se cubrira el enriquecimiento de los datos de amenazas con el conjunto de campo Threat ECS y la operatividad de los datos de amenazas con Elastic Security.

Módulos de Elastic Filebeat

Los módulos de Elastic Filebeat simplifican la recopilación, el análisis y la visualización de datos almacenados en formatos de registro comunes. Elastic publica una variedad de módulos Filebeat que se enfocan en recopilar los datos que desea usar dentro de Elasticsearch. Estos módulos proporcionan un método estandarizado y "llave en mano" para ingerir fuentes de datos específicas en Elastic Stack. 

Usando estas capacidades, el módulo Threat Intel Filebeat:

• Consume datos de amenazas de seis feeds de código abierto
• Carga datos de amenazas en Elasticsearch
• Normaliza los datos de amenazas en el conjunto de campo Threat ECS
• Permite el análisis de amenazas a través de paneles y visualizaciones.

Los analistas y los cazadores de amenazas pueden utilizar estos datos para la búsqueda de amenazas sin procesar, el enriquecimiento, el análisis y la producción de inteligencia y la lógica de detección.

Más informacion y nota completa desde el Blog de Elastic