Elastic Security nimmt Google Threat Intelligence nativ auf: bekannt-bösartige IPs, Domains, URLs und Datei-Hashes, die sofort mit Ihrer Telemetrie abgeglichen werden, jeder mit einem Urteil und einem Bedrohungsscore von 0–100. Das Setup besteht aus einem API-Schlüssel und zwei Datenströmen, ohne zusätzliche Infrastruktur. Wenn ein Indikator mehrdeutig ist, fragen Workflows, die auf Agent Builder basieren, VirusTotal in Echtzeit ab, bereichern die Warnung, korrelieren mit Ihrer Telemetrie und fassen die Ergebnisse in Echtzeit zusammen.
Wie Bedrohungsintelligenz in Elastic Security funktioniert
In modernen Sicherheitsoperationen muss Bedrohungsintelligenz über Erkennung, Untersuchung und Reaktion hinweg funktionieren und nicht in einer Referenztabelle liegen.
Elastic Security unterstützt dies auf zwei Arten. Über Integrationen aufgenommene Informationen treiben kontinuierliche Erkennung und historische Jagd voran. Agentische Workflows, basierend auf Elastic Workflows und Agent Builder, bieten während einer laufenden Untersuchung On-Demand-Bereicherung und ermittlerisches Denken. Dieser Beitrag konzentriert sich darauf, wie Elastics Google Threat Intelligence (GTI)-Integration die aufnahmebasierte Erkennung und Jagd ermöglicht und wie sie in ein breiteres, dynamischeres SOC-Modell passt, in dem KI-gesteuerte Workflows diese Intelligenz zur Alarmzeit nutzen.
Was Google Threat Intelligence bietet
Die Integration von Google Threat Intelligence bringt kuratierte Bedrohungsinformationen direkt in Elastic Security und macht sie über Erkennung und Untersuchung umsetzbar. GTI kombiniert Informationen aus Googles globaler Sicherheitstransparenz mit VirusTotal-Daten, um bereicherten Kontext zu Indikatoren für Kompromittierung zu liefern, mit Abdeckung von Malware, Ransomware, Phishing, Infodieben, bösartiger Infrastruktur, Bedrohungsakteuren und anderen Gegneraktivitäten.
Jeder Indikator wird mit: einem Urteil (böswillig, verdächtig oder Unentdeckt), einer Schwere und einem zusammengesetzten Bedrohungswert von 0–100 zurückgegeben. Da dieser Wert aus mehreren Signalen abgeleitet wird, können Sicherheitsteams Indikatoren anhand von Vertrauen und nicht nur ihrer Anwesenheit beurteilen.
Wie die Integration von Google Threat Intelligence in Elastic Security funktioniert
Die Einrichtung dauert nur ein paar Minuten. Sie geben Ihren GTI-API-Schlüssel in der Elastic-Integration ein, und die Eingabe beginnt mit einem geplanten Abfrageintervall, ohne zusätzliche Infrastruktur oder Collectors. Die Integration nimmt zwei primäre Datenströme auf.
| Zweck | Bedrohungsliste | IOC-Stream |
|---|---|---|
| Zweck | Erkennung mit hoher Zuverlässigkeit | Bedrohungsjagd + frühe Sichtbarkeit |
| Band | Kuratiert, niedrigeres Volumen | Breiteres, höheres Volumen |
| Am besten für | Präzisionskritische Alarmierung | Neue und erkundungsorientierte Aktivitäten |
Während die Daten aufgenommen werden, werden Indikatoren mit dem Elastic Common Schema (ECS) standardisiert, zusammen mit GTI-Kontext wie Urteil, Schweregrad, Punktzahl, Malware-Familien, Assoziationen von Bedrohungsakteuren und Kampagnenmetadaten (sofern verfügbar). Dies ermöglicht es, GTI konsistent mit anderen ECS-konformen Geheimdienstquellen (einschließlich TAXII-Feeds), benutzerdefinierten Informationen und der bereits vorhandenen breiteren Sicherheitstelemetrie in Elastic Security zu durchsuchen und zu korrelieren. Elastic verwaltet außerdem den Indikatorlebenszyklus automatisch, einschließlich Ablauf und Widerruf, was Übereinstimmungen gegen veraltete Intelligenz reduziert. Nach der Aufnahme werden GTI-Indikatoren Teil desselben durchsuchbaren Datensatzes wie Logs, Endpunkt- und Cloud-Telemetrie, was eine einheitliche Korrelation über die Umgebung hinweg ermöglicht.
Verwendung von Google Threat Intelligence zur Erkennung von Indikatorübereinstimmungen
Die Indikator-Match-Regeln von Elastic nutzen GTI-Daten, um zu erkennen, wann bekannte bösartige IPs, Domains, URLs oder Datei-Hashes in der Sicherheitstelemetrie auftauchen, wodurch Informationen kontinuierlich mit beobachteten Aktivitäten korreliert werden und Übereinstimmungen zur Untersuchung sichtbar werden. Da GTI strukturierte Felder wie Punktzahl, Urteil und Schweregrad bereitstellt, können Teams Erkennungen durch Konfidenz optimieren: Hochvertrauensindikatoren können eine sofortige Eskalation auslösen, während niedrigere Konfidenzindikatoren zur Überprüfung oder weiteren Validierung weitergeleitet werden können.
Bedrohungsjagd mit GTI-Indikatoren in Elastic Security
Mit GTI-Metadaten können Analysten von einem einzelnen IOC auf die gesamte zugehörige Infrastruktur umstellen und historische Telemetrie durchsuchen; Nicht nur prüfen, ob ein Indikator erschienen ist, sondern auch verstehen, zu welcher Kampagne er gehört.
GTI bereichert Indikatoren mit Metadaten wie Bedrohungsakteuren-Assoziationen und dem Kontext der Malware-Familie, sodass Analysten über Einzel-IOC-Suchen hinausgehen können. Jäger können von einem Angreifer oder einer Kampagne auf alle zugehörigen Indikatoren (IPs, Domains und Datei-Hashes) umsteigen und mit ES|QL in der historischen Telemetrie suchen. Dadurch ist es einfach festzustellen, ob bekannte bösartige Infrastruktur jemals mit der Umgebung interagiert hat.
Überwachung von Bedrohungsintelligenzaktivitäten mit GTI-Dashboards
Die Integration umfasst vorgefertigte Dashboards, die Transparenz in Bedrohungsinformationen und die von GTI gesteuerten Erkennungen bieten. Mit gespeicherten Suchen und aggregierten Kennzahlen fassen diese Dashboards beobachtete Bedrohungen über Malware-Familien, Kampagnen, Bedrohungsakteure, Toolkits und Schwachstellen hinweg zusammen und helfen SOC-Teams zu verstehen, welche Bedrohungstypen in ihrer Umgebung am aktivsten sind und wie Informationen operationalisiert werden.
Google Threat Intelligence Feed-Kategorien und Abdeckung
GTI umfasst 14 kategorisierte Feed-Kategorien, sodass Organisationen die Abdeckung an ihre Bedürfnisse und das Abonnementniveau anpassen können. Unterstützte Kategorien sind:
- Kryptominer
- Trendende Bedrohungen
- Initiale Zugriffs- und Liefervektoren
- Infodiebe
- IoT-Bedrohungen
- Linux-Malware
- Bösartige Infrastruktur
- Allgemeine Malware
- Mobile Bedrohungen
- macOS-Bedrohungen
- Phishing
- Ransomware
- Bedrohungsakteure
- Schwachstellenausnutzung und Bewaffnung
Die Verfügbarkeit hängt von Ihrer Google Threat Intelligence-Abonnementstufe ab, und zusätzliche Feeds können ohne Änderungen an der Elastic-Konfiguration aktiviert werden.
Agentische Anreicherung und Echtzeit-Triage mit elastischen Workflows
Für mehrdeutige oder aufkommende Indikatoren, die noch nicht in einem indexierten Feed enthalten sind, unterstützt Elastic Security KI-gesteuerte Untersuchungen durch Agent Builder und Elastic Workflows, die die Intelligenzaufnahme durch Echtzeit-Anreicherung und Schlussfolgerung während einer Untersuchung ergänzen.
Bei Workflows ist ein Analyst nicht mehr auf die bereits im Index enthaltene Intelligenz beschränkt. Während der Alert-Triage kann ein Workflow externe Intelligence- und Reputationsdienste wie VirusTotal in Echtzeit abfragen, einen Alarm mit frischem Kontext zu den beteiligten IPs, Domains oder Datei-Hashes bereichern, diese Live-Intelligenz mit Elastic-Telemetrie korrelieren und die Ergebnisse in einen strukturierten Untersuchungskontext zusammenfassen, auf den der Analyst reagieren kann. Agent Builder erweitert dies weiter: Teams können wiederverwendbare, aufgabenspezifische Fähigkeiten wie Agentenfähigkeiten für Alert-Triage, Anreicherung oder Fallbearbeitung erstellen, sodass der Assistent mehrstufige Ermittlungsaufgaben mit der Konsistenz traditioneller Automatisierung über eine natürliche Sprachoberfläche ausführt.
Dies führt ein komplementäres Modell ein. Aufgenommene Intelligenz (GTI, TAXII und benutzerdefinierte Feeds) ermöglicht eine kontinuierliche Erkennung und historische Jagd auf Indikatoren, die Sie bereits besitzen. Agentische Workflows bieten On-Demand-Anreicherung und ermittlerisches Denken zur richtigen Zeit, indem sie Live-Quellen erreichen und Kontext spontan zusammenstellen. Gemeinsam ermöglichen sie Teams, bekannte Bedrohungen in großem Umfang zu erkennen und Untersuchungen Kontext zu geben.
Einstieg mit Google Threat Intelligence in Elastic Security
Um die Google Threat Intelligence-Integration in Elastic Security zu nutzen, benötigen Sie eine aktive GTI-Lizenz und einen API-Schlüssel.
- Installieren: Integrationskatalog in Kibana öffnen → nach "Google Threat Intelligence" suchen → Integration hinzufügen → Ihren API-Schlüssel eingeben
- Konfigurieren Sie die Datenströme: Aktivieren Sie die Bedrohungsliste (Hochvertrauenserkennungen) und den IOC-Strom (Suchabdeckung) → stellen Sie die Abfragefrequenz so ein, dass sie API-Grenzen und betrieblichen Anforderungen entspricht
- Tune: Vorgefertigte Indikator-Spielregeln werden automatisch aktiviert; Wenn das Alarmvolumen hoch ist, filtern Sie zunächst nach der Konfidenzschwelle
Alle Indikatoren werden in Elasticsearch gespeichert und über die GTI-Bedrohungsintelligenz-Datenansicht zugänglich, wodurch Suche, Korrelation und benutzerdefinierte Erkennungslogik aktiviert werden. Vollständige Konfigurationsdetails und Hinweise zur Fehlerbehebung finden Sie in der offiziellen Dokumentation.
Das Ganze zusammenfassen
Bedrohungsintelligenz ist nur dann wichtig, wenn ein Team darauf reagieren kann. Durch die Integration von Google Threat Intelligence in Elastic Security erhalten SOC-Teams eine aufnahmebasierte Erkennung kontinuierlich über ihre Telemetrie- und agentengesteuerte Untersuchungsbegründung über diese Informationen in Echtzeit. Diese Kombination ermöglicht es Bedrohungsinformationen, kontinuierlich und kontextuell zu arbeiten, sodass Analysten schneller von Indikatoren zu selbstbewussten Entscheidungen übergehen.