La gestión centralizada de osquery ahora está disponible en Elastic Security 7.13, por lo que tu equipo puede aprovechar la gestión centralizada y el análisis unificado de los datos del host.

<p>Estamos entusiasmados por compartir Elastic Security 7.13, que conecta a los analistas con la información que necesitan para tomar decisiones inteligentes. El lanzamiento es un avance importante en nuestro soporte de osquery, porque optimiza el acceso a los datos del host en todo tu entorno. La inteligencia de amenazas se revela de formas nuevas, y la detección de contenido identifica eventos preocupantes. Por último, pero no por ello menos importante, el lanzamiento comparte algunos desarrollos relacionados con los endpoints y soporte para nuevas fuentes de datos.
</p><h2><strong>Osquery para todos</strong></h2><p>Elastic Security 7.13 amplía sustancialmente nuestro soporte de osquery, el marco de trabajo de instrumentación de host open source. Osquery es el arma no tan secreta para muchos equipos de seguridad sofisticados, que incrementa varios casos de uso de seguridad, cumplimiento y operaciones, como:
</p><ul>
	<li aria-level="1">Cambios inesperados en el espacio libre en disco o uso de la memoria</li>
	<li aria-level="1">Mejorar la visibilidad de los procesos y las cuentas activas</li>
	<li aria-level="1">Validar el uso de almacenamiento encriptado para dar soporte a los requisitos de cumplimiento</li>
</ul><p>Osquery es increíblemente poderoso, fue creado por una comunidad open source mundial y es popular con los usuarios de Elastic. Pero implementarlo puede ser complicado y, por lo general, requiere una inversión importante de DevOps, lo que obstaculiza su adopción. Es por eso que Elastic está trabajando para facilitar a los equipos de seguridad implementar osquery a escala, comenzando por las capacidades de nuestra versión 7.13. 
</p><h3>Gestión de osquery centralizada</h3><p>La integración de la gestión de osquery para el agente de Elastic es nueva en Elastic Security, proporciona el poder de osquery sin las complejidades de una capa de gestión diferente. Con un clic, puedes instalar osquery en cualquiera o todos tus hosts Windows, macOS y Linux; no se requieren herramientas de aprovisionamiento ni scripts. Sin ninguna configuración, los datos se ingestan en Elasticsearch y se muestran en Kibana. Los especialistas pueden ejecutar búsquedas en directo con uno o más agentes o conjuntos de agentes definidos por el usuario y definir búsquedas programadas para capturar los cambios de estado.
</p><p>¿Necesitas recopilar logs de un despliegue de osquery existente? Esa es una tarea para la integración de recopilación de logs de osquery para el agente de Elastic.
</p><h3>Análisis unificado de los datos del host de osquery</h3><p>Elastic Security 7.13 y osquery brindan información clave de los hosts, con una interfaz que los analistas usan a diario. Los analistas escriben búsquedas en SQL, en lugar de enfrentar las líneas de comando implacables de varios sistemas operativos. Las búsquedas predefinidas se publican en varios repositorios de GitHub de la comunidad, lo que disminuye aún más la curva de aprendizaje. Y con Elastic Security 7.13, Kibana guía a los escritores de búsquedas con finalización de código, sugerencias de código y asistencia de contenido.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltbc20b3991002e215/60a6bfb0eab8ca74ace851ea/1-blog-elastic-security-7-13.gif" data-sys-asset-uid="bltbc20b3991002e215" alt="" style="display: block; margin: auto;">
</p><p>El análisis de los datos de osquery en Elastic Security permite un análisis de datos unificado. Desde un único panel, puedes ver todos los resultados de logs/eventos, analítica de seguridad y contexto de osquery; desde la vista histórica de las búsquedas que se ejecutaron hasta los resultados de cada una. Centraliza la analítica de seguridad para contextualizar los resultados de osquery con otros datos de logs/eventos, anomalías y amenazas, esto te permitirá aprovechar el contexto para mejorar el monitoreo.
</p><p>Como solución combinada, Elastic Security y osquery proporcionan una visibilidad y un poder analítico del host invaluables. En conjunto, la solución combinada permite el análisis unificado de todos los datos del host (resultados de osquery, logs, eventos, lo que sea) para abordar amenazas cibernéticas y asuntos relacionados. Busca en los hosts información que no estaría disponible de otra forma. Ingesta resultados directamente en Elasticsearch y visualízalos en la app Security en Kibana. Después analízalos junto con datos de otras fuentes, mediante machine learning, el motor de detección de SIEM, dashboards y más.
</p> <strong><h2>Revelar la inteligencia de amenazas en los flujos de trabajo de analistas</h2></strong><h3>Inteligencia de amenazas en el panel Alert details</h3><p>El panel Alert details (Detalles de alertas) para alertas generadas por reglas de coincidencia con indicadores ahora muestra detalles relevantes de inteligencia de amenazas, lo cual potencialmente les ahorra a los analistas la necesidad de buscar ese contexto en una nueva pestaña del navegador.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6cdd5b1eeb5fc8d5/60a6bfc1c8faf774ab45f7d3/2-blog-elasticsecurity-7-13.png" data-sys-asset-uid="blt6cdd5b1eeb5fc8d5" alt="" width="424" height="405" style="display: block; margin: auto; width: 424px; height: 405px;">
</p><h3>El representador de filas resume las coincidencias de inteligencia de amenazas</h3><p>Elastic Security 7.13 agrega un representador de filas para las alertas generadas a partir de reglas de coincidencia con indicadores, el cual presenta los detalles sobre el indicador de compromiso (IoC) coincidente en formato semántico para que los analistas lo comprendan rápidamente.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltb36693923fe20a82/60a6bfd10a03095ac9585a4f/3-blog-elastic-security-7-13.png" data-sys-asset-uid="bltb36693923fe20a82" alt="" style="display: block; margin: auto;">
</p><h3>Plantilla de línea de tiempo para la detección de alertas generadas por tipo de regla de coincidencia con indicadores</h3><p>La versión 7.13 agrega una plantilla de línea de tiempo para alertas generadas a partir de reglas de coincidencia con indicadores, la cual acelera las investigaciones gracias a que revela los detalles más relevantes en el espacio de trabajo de la línea de tiempo.
</p><h3>Soporte para la fuente de amenaza de MalwareBazaar de abuse.ch</h3><p>La versión 7.13 amplía el módulo de inteligencia de amenazas de Filebeat para dar soporte a la ingesta de la fuente de <a href="https://bazaar.abuse.ch/">MalwareBazaar</a> de abuse.ch. MalwareBazaar facilita el uso compartido de muestras de malware en toda la comunidad de seguridad, lo que ayuda a los especialistas a hacer del mundo moderno un lugar más seguro. En Elastic Security, los datos contextuales pueden aplicarse a casos de uso de detección automática a través del tipo de regla de coincidencia con indicadores, también pueden brindar a los analistas acceso directo a información valiosa de varios casos de uso de búsqueda de amenazas y respuesta ante incidentes.
</p> <strong><h2>Técnicas de detección avanzadas para amenazas avanzadas</h2></strong><h3>Detección de amenazas avanzadas con trabajos de ML en el módulo de red</h3><p>Los ingenieros de investigación de seguridad de Elastic han desarrollado un nuevo conjunto de trabajos de machine learning que identifican anomalías en el comportamiento de red que podrían revelar una amenaza avanzada gracias a la detección de conexiones de comando y control, el intento de exfiltración de datos y otra actividad sospechosa o maliciosa:
</p><ul>
	<li aria-level="1"><span style="font-family: monospace;">high_count_by_destination_country</span> busca un aumento repentino atípicamente grande de actividad de red a un país de destino en los logs de red, lo que potencialmente identificaría tráfico de enumeración o reconocimiento</li>
	<li aria-level="1"><span style="font-family: monospace;">high_count_network_denies</span> busca un aumento repentino atípicamente grande de tráfico de red denegado por las listas de control de acceso (ACL) de red o las reglas de firewall, lo que típicamente revela un dispositivo mal configurado o actividad sospechosa/maliciosa</li>
	<li aria-level="1"><span style="font-family: monospace;">high_count_network_events</span> busca un aumento repentino atípicamente grande de tráfico de red, lo que podría revelar que un pico de tráfico puede deberse a actividad sospechosa o maliciosa</li>
	<li aria-level="1"><span style="font-family: monospace;">rare_destination_country</span> busca un nombre de país de destino atípico en los logs de registro, lo cual puede deberse a actividad de acceso inicial, persistencia, comando y control, o exfiltración</li>
</ul><h3>Reglas de detección prediseñadas adicionales</h3><p>Elastic 7.13 presenta otro conjunto nuevo de reglas de detección prediseñadas que protegen O365, macOS y otras áreas. Las reglas de detección abarcan un amplio rango de técnicas de ataque y se envían con las plantillas de línea de tiempo correspondientes.
</p><p>La versión también permite a los administradores configurar las reglas de coincidencia con indicadores para que se activen al detectar coincidencias con datos de seis fuentes de inteligencia de amenazas: Abuse.ch MalwareBazaar, Abuse.ch URLhaus, Anomali Limo; AlienVault OTX, MalwareBazaar y MISP.
</p><h3>Modelo de ML principal-secundario anómalo</h3><p>Los ingenieros de investigación de seguridad de Elastic detallaron recientemente una forma de usar tanto ML supervisado como no supervisado para <a href="/es/blog/problemchild-detecting-living-off-the-land-attacks">detectar binarios "living-off-the-land" </a> (lo que llaman LOLBins) que, de otra forma, podrían no detectarse gracias a que se camuflan entre las distracciones que generan otros programas del sistema.
</p><h3>Actualizaciones de reglas fuera de banda</h3><p>Ahora se pueden entregar reglas de detección actualizadas fuera del ciclo de lanzamiento regular de Elastic, lo que permite a nuestros ingenieros de investigación de seguridad responder más rápido a eventos de seguridad en tendencia. Todas las reglas tienen control de versiones y se actualizan individualmente. Se notifica a los administradores sobre las actualizaciones, y estos pueden aprobarlas con un clic.
</p> <strong><h2>Mejoras en la seguridad de endpoints</h2></strong><h3>Detección de manipulación de procesos</h3><p>Elastic permite ahora la detección de la manipulación de procesos, incluidos ataques como Doppelgänging de procesos y Herpaderping de procesos. Ya sea que uses el agente de Elastic o Winlogbeat, puedes automatizar la detección de la manipulación de procesos.
</p><h3>Detección de EICAR</h3><p>Elastic Security 7.13 simplifica las operaciones con la adición de la firma EICAR a las firmas de malware de diagnóstico predeterminadas que se usan para el agente de Elastic, lo que soporta las pruebas automatizadas de sistemas de malware en Windows, macOS y Linux.
</p><h3>Servidor de Fleet</h3><p>La versión 7.13 presenta el servidor de Fleet, un componente de infraestructura dedicado (un trabajo menos para Kibana) para gestionar agentes y administrar las integraciones de agentes. Se escribió en Go y se diseñó específicamente para manejar decenas o cientos de miles de agentes. Obtén más información en el blog de lanzamiento de Elastic Cloud.
</p> <strong><h2>Más (y más) integraciones de datos</h2></strong><h3>Integración en CyberArk Privileged Access Security</h3><p>CyberArk trabajó con Elastic para crear una integración robusta en su solución Privileged Access Security (PAS), a fin de proporcionar una ingesta y parseo óptimos de esta fuente de datos valiosa. Analizar estos eventos junto con otros datos del entorno permite a los analistas identificar amenazas que usan indebidamente cuentas privilegiadas para avanzar en la cyber kill chain. La integración también incluye el dashboard (directo al grano) ilustrado a continuación.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltc24dde331b6811d7/60a6bfe90a03095ac9585a53/4-blog-elastic-security-7-13.png" data-sys-asset-uid="bltc24dde331b6811d7" alt="" style="display: block; margin: auto;"><br>
</p><h3>Procesador XML independiente para eventos de Windows</h3><p>Elastic Security ofrece ahora una forma nueva de parsear e ingestar eventos de Windows en formato XML que residen en un sistema distinto de Windows.
</p><h3>Reenvío de eventos de Windows de SIEM heredado</h3><p>La versión 7.13 ahora soporta la ingesta de eventos de Windows a través del conector de SIEM heredado y de terceros.
</p><h3>Actualización de la recopilación de eventos de Sysmon</h3><p>Al módulo de Sysmon para Winlogbeat se le realizaron modificaciones pequeñas pero importantes: ahora soporta Evento 24 (cambio de portapapeles) y Evento 25 (manipulación de procesos). Independientemente de que uses el agente o Winlogbeat, puedes recopilar eventos que revelen la manipulación de procesos.
</p><h3>Soporte para ECS 1.9</h3><p>Todos los módulos de integración de datos de Beats y agentes se actualizaron a ECS 1.9.
</p> <strong><h2>Prueba Elastic Security 7.13</h2></strong><p>¿Quieres probar todos estos beneficios en Elastic Security? Experimenta todo lo que la versión 7.13 tiene para ofrecer en <a href="/es/cloud/elasticsearch-service/signup">Elastic Cloud</a> o ve una <a href="https://demo.elastic.co/app/security/overview/?_g=()&timerange=(global:(linkTo:!(timeline),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)),timeline:(linkTo:!(global),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)))">demostración de Elastic Security</a>. ¿Ya tienes datos con formato <a href="/es/blog/migrating-to-elastic-common-schema-in-beats-environments">ECS</a> en Elasticsearch? Solo actualiza a la versión 7.13 del Elastic Stack para comenzar a detectar y responder.
</p>

blog-banner-release-security.png

blog-thumb-release-security.png

What’s new in Elastic Security 7.13: Equip analysts with vital context

Novedades en Elastic Security 7.13: Equipar a los analistas con contexto fundamental

Experimenta Elastic Security 7.9, con antimalware y recopilación de datos integrados, protecciones del cloud prediseñadas, flujos de trabajo del analista mejorados, análisis y recopilación de datos ampliadas.

Elastic Security 7.9 delivers malware prevention for every endpoint, prebuilt cloud protections, and more

Elastic Security 7.9 agrega antimalware, protecciones del cloud prediseñadas y más

<p>Elastic&nbsp;Security&nbsp;7.6 se desarrolla a partir de las fortalezas de Elastic&nbsp;Endpoint&nbsp;Security y Elastic&nbsp;SIEM para brindar una visibilidad y protección contra amenazas sin igual a través de una interfaz unificada. Esta versión automatiza la detección centralizada de amenazas en la app SIEM y mejora las capacidades de detección de endpoint en hosts Windows. El acceso a nuevas fuentes de datos y las mejoras en toda la app Elastic&nbsp;SIEM empoderan aún más a los especialistas de seguridad para acelerar la detección y respuesta. Exploremos las novedades en Elastic&nbsp;Security&nbsp;7.6.
</p> <strong>
<h2><strong>Tiempo de permanencia casi nulo con un motor de detección de SIEM nuevo y reglas alineadas con MITRE&nbsp;ATT&CK™</strong></h2></strong>
<p>Elastic&nbsp;Security&nbsp;7.6 presenta un motor de detección de SIEM nuevo para automatizar la detección de amenazas, minimizar el tiempo promedio hasta la detección&nbsp;(MTTD) y liberar al equipo de seguridad para las tareas de seguridad que requieran de la intuición y habilidades humanas. Con Elasticsearch como elemento principal, Elastic&nbsp;SIEM ya acelera el tiempo de investigación de seguridad de horas a minutos. Esta nueva capacidad de detección automatizada reduce más el tiempo de permanencia revelando amenazas que de lo contrario se omitirían.
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt2e23bcb43d16a1e3/5e6288309a536463335f97ae/screenshot-siem-detections.png" data-sys-asset-uid="blt2e23bcb43d16a1e3" alt="Ve detecciones de SIEM (señales) generadas por las reglas listas para usar automatizadas por el motor de detección de SIEM." "=""><br>
</p><figcaption>Ve detecciones de SIEM (señales) generadas por las reglas listas para usar automatizadas por el motor de detección de SIEM.</figcaption>
<p>Elastic también lanza un conjunto inicial de casi 100&nbsp;reglas listas para usar alineadas con la base de conocimientos ATT&CK para revelar signos de amenazas que otras herramientas suelen omitir. Estas reglas, creadas y mantenidas por los expertos de seguridad de Elastic, detectan automáticamente herramientas, tácticas y procedimientos que indican la actividad de amenazas, y se actualizarán continuamente para abordar nuevas amenazas. Las puntuaciones de riesgo y gravedad asociadas con las señales que genera el motor de detección permiten a los analistas priorizar rápidamente los problemas y centrar su atención en el trabajo de mayor valor.
</p>
<p>“Elastic ha ayudado a nuestro equipo de seguridad a enfocarse en lo importante gracias a que nos equipó con las herramientas necesarias para buscar de manera eficaz en millones de logs y reducir al mismo tiempo la cantidad de alertas a un volumen que nuestro equipo de seguridad puede manejar”, dijo Maxim Verreault, gerente de seguridad en Skytech Communications. “Con el lanzamiento de la versión&nbsp;7.6, las reglas de detección de señales listas para usar en Elastic&nbsp;SIEM nos permiten automatizar el análisis de todos nuestros datos de observabilidad y detectar y responder a amenazas en el instante en que suceden. Elastic&nbsp;Security&nbsp;7.6 también proporciona una excelente manera para que la comunidad se conecte mientras que nosotros, los encargados de seguridad, podremos compartir reglas de detección de señales personalizadas para que todos puedan beneficiarse y detectar nuevas amenazas emergentes”.
</p>
<p>Las reglas se aplican a datos que cumplen con <a href="/es/blog/introducing-the-elastic-common-schema">Elastic Common Schema&nbsp;(ECS)</a> recopilados de sistemas Windows, macOS y Linux, al igual que a información de red de otras fuentes. Los equipos de seguridad tienen la opción de crear o personalizar reglas, pero nunca deberían necesitar volver a escribirlas para fuentes de datos que cumplen con&nbsp;ECS agregadas a su entorno.
</p>
<p>Las reglas de detección de amenazas integradas de Elastic&nbsp;SIEM, desarrolladas y mantenidas por los expertos de seguridad de Elastic, complementan las tareas de detección de anomalías impulsadas por Machine Learning de la app SIEM y las protecciones basadas en host de Elastic&nbsp;Endpoint&nbsp;Security. Por cierto...
</p> <strong>
<h2><strong>Visibilidad sin precedentes de endpoints de Windows</strong><strong></strong></h2></strong>
<p>Elastic&nbsp;Security&nbsp;7.6 proporciona niveles sin precedentes de visibilidad y protección a sistemas Windows, que son un objetivo de ataque importante debido a su ubicuidad y modelo tolerante de permisos de usuario. En este lanzamiento se profundiza la visibilidad de la actividad de Windows y se recopilan y enriquecen de manera resiliente datos de ubicaciones que, de lo contrario, son vulnerables a las técnicas de evasión de las amenazas avanzadas.&nbsp;
</p>
<p>Las nuevas detecciones listas para usar aprovechan estos datos para detectar intentos de capturar entradas del teclado, cargar código malintencionado en otros procesos y más. Los especialistas pueden emparejar eventos generados por estas reglas de detección con respuestas automatizadas (por ejemplo, terminar un proceso) para lograr una prevención en capas. La combinación de esta visibilidad y protección con las capacidades existentes de prevención, detección y respuesta para sistemas macOS y Linux proporciona a los usuarios de Elastic&nbsp;Endpoint&nbsp;Security una protección completa en todo su entorno.
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6f0ce2521c2eb9c6/5e3d83145819152bd99ce5b6/screenshot-endpoint-resolver-powershell.jpg" data-sys-asset-uid="blt6f0ce2521c2eb9c6" alt="Ve un ataque de forma integral con Resolver en Elastic&nbsp;Endpoint&nbsp;Security." "="">
</p><figcaption>Ve un ataque de forma integral con Resolver en Elastic&nbsp;Endpoint&nbsp;Security.</figcaption>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blta6f2dbca4e0eb61e/5e3d834dc77dbe6512a25cd9/screenshot-endpoint-event-powershell.jpg" data-sys-asset-uid="blta6f2dbca4e0eb61e" alt="Logra visibilidad sin precedentes de eventos de PowerShell." "="">
</p> <figcaption>Logra visibilidad sin precedentes de eventos de PowerShell.</figcaption>
<h2><strong>Reducción del MTTD mediante la visualización rápida de lo más importante</strong></h2>
<p>La nueva página Overview (Visión general) de la app Elastic&nbsp;SIEM y las mejoras más amplias del flujo de trabajo permiten a los especialistas en seguridad perseguir e investigar amenazas rápidamente. Los usuarios pueden adentrarse directamente en una investigación abriendo un cronograma, visualizando las señales de detección más recientes y revisando las alertas de fuentes externas como Elastic&nbsp;Endpoint&nbsp;Security, <a href="/es/partners/palo-alto-networks/">Palo Alto Networks</a>, Suricata, Zeek y otras. Sin importar dónde estés en la app SIEM, solo estarás a un clic de distancia de sus capacidades integradas de detección de anomalías y detección de amenazas.
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt1a69951e40bfb131/5e3d839af08ae96b405b2ddc/screenshot-siem-overview-2.jpg" data-sys-asset-uid="blt1a69951e40bfb131" alt="El monitoreo de seguridad acaba de volverse más fácil gracias a la nueva página Overview (Visión general) en la app Elastic&nbsp;SIEM." "=""><br>
</p><figcaption>El monitoreo de seguridad acaba de volverse más fácil gracias a la nueva página Overview (Visión general) en la app Elastic&nbsp;SIEM.</figcaption>
<p>Los analistas también pueden aumentar la percepción operativa con nuevos histogramas de señales, alertas y eventos, y explorar las visualizaciones nuevas y mejoradas en las vistas Hosts y Network (Red) para análisis más especializados.
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt02042cd22f15ff57/5e3d840adb561b2b59d8bc50/screenshot-siem-siem-hosts-authentications-isolated.png" data-sys-asset-uid="blt02042cd22f15ff57" alt="Ve datos a simple vista con los nuevos histogramas en Elastic&nbsp;SIEM." "="">
</p><figcaption>Ve datos a simple vista con los nuevos histogramas en Elastic&nbsp;SIEM.</figcaption>
<h2><strong>Vigila tus aplicaciones</strong></h2>
<p>Elastic&nbsp;SIEM ahora también proporciona visibilidad seleccionada de los datos HTTP, lo que te otorga el poder para ver datos de Elastic&nbsp;APM directamente en la app&nbsp;SIEM. Varios módulos de Beats listos para usar proporcionan acceso a datos HTTP adicionales que cumplen con&nbsp;ECS, lo que te permite inspeccionar y visualizar fácilmente todas las transacciones web en una vista unificada. Explora y ve lo que puedes descubrir; y asegúrate de que tus colegas de DevOps echen un vistazo pronto.
</p> <strong>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltb6d3595bd204afbe/5e41caaf51dcf72bdad19e9c/APM_in_SIEM.gif" data-sys-asset-uid="bltb6d3595bd204afbe" alt="APM_in_SIEM.gif">
</p>
<h2><strong>Monitorea tus datos del&nbsp;cloud</strong></h2></strong>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt5e0e1c193a28077a/5e3d843b5819152bd99ce5bc/screenshot-siem-hosts-events-grid-isolated.png" data-sys-asset-uid="blt5e0e1c193a28077a" alt="Ingesta eventos de GCP en formato ECS y velos en la app SIEM." "="">
</p><figcaption>Ingesta eventos de GCP en formato ECS y velos en la app SIEM.</figcaption>
<p>Simplificamos aún más la ingesta de datos en el Elastic&nbsp;Stack para una visualización y análisis centralizados. La versión&nbsp;7.6 incorpora soporte para datos de AWS&nbsp;CloudTrail y mejora el soporte para Google Cloud Platform, lo que proporciona una visibilidad fundamental de la superficie de ataque moderna. Los datos en formato&nbsp;CEF, ya sean de la cloud u otro origen, también son más fáciles de visualizar que nunca gracias a nuestro módulo&nbsp;CEF actualizado para Filebeat.
</p> <strong>
<h2><strong>Comienza hoy mismo</strong></h2></strong>
<p>¿Quieres darle una oportunidad a Elastic&nbsp;SIEM? Experimenta nuestra versión más reciente en <a href="/es/cloud/elasticsearch-service/signup">Elasticsearch&nbsp;Service</a> en Elastic&nbsp;Cloud o prueba una <a href="https://demo.elastic.co/app/siem#/overview?_g=()&timerange=(global:(linkTo:!(timeline),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)),timeline:(linkTo:!(global),timerange:(from:1580667870898,fromStr:now-24h,kind:relative,to:1580754270898,toStr:now)))">demostración de Elastic&nbsp;SIEM</a>. ¿Ya tienes el formato de datos con formato&nbsp;<a href="/es/blog/migrating-to-elastic-common-schema-in-beats-environments">ECS</a> en Elasticsearch? Solo actualiza a la versión&nbsp;7.6 del <a href="/es/downloads/">Elastic&nbsp;Stack</a> para iniciar la persecución.
</p>

Elastic Security 7.6.0 released

Lanzamiento de Elastic Security 7.6.0

<p>Presentamos el Elastic Common Schema (ECS), una nueva especificación que proporciona una manera coherente y personalizable de estructurar tus datos en Elasticsearch y facilitar el análisis de datos de diferentes fuentes. Con ECS, el contenido de analíticas, como los dashboards y los trabajos de Machine Learning, pueden aplicarse de manera más amplia, las búsquedas pueden diseñarse de manera más limitada y los nombres de campo son más fáciles de recordar.
</p>
<h2>¿Por qué un esquema común (Common Schema)?</h2>
<p>Ya sea que estés haciendo un análisis interactivo (por ejemplo, búsqueda, exploración profunda con dinamización, visualización) o un análisis automatizado (por ejemplo: alertas, detección de anomalías basada en Machine Learning), debes poder examinar tus datos de manera uniforme. Sin embargo, a menos que tus datos se originen en una sola fuente, te enfrentarás a incoherencias de formato, que son el resultado de lo siguiente:
</p>
<ul>
	<li>Tipos de datos dispares (por ejemplo: logs, métricas, APM, flujos, datos contextuales)</li>
	<li>Entornos heterogéneos con diversos estándares de proveedores</li>
	<li>Fuentes de datos similares, pero diferentes (por ejemplo: fuentes múltiples de datos del punto de conexión, como <a href="/es/beats/auditbeat">Auditbeat</a>, Cylance y Tanium)</li>
</ul>
<p>Imagina que buscas un usuario específico entre los datos que se originan de fuentes múltiples. Solo para buscar este campo, es probable que debas tener en cuenta varios nombres de campo, como el <code>usuario</code>, el <code>nombre de usuario</code>, <code>nginx.access.user_name</code> y el <code>inicio de sesión</code>. Hacer una búsqueda profunda y optimizar esos datos presentaría un desafío aún mayor. Ahora, imagina el desarrollo de contenido de analíticas, como una visualización, una alerta o un trabajo de Machine Learning: cada nueva fuente de datos agregaría complejidad o duplicación.
</p>
<h3>¿Qué es el Elastic Common Schema?</h3>
<p>ECS es una especificación de open source que define un conjunto común de campos de documentos para los datos ingestados en Elasticsearch. ECS está diseñado para admitir modelos de datos uniformes, lo que le permite analizar de forma centralizada datos de diversas fuentes con técnicas interactivas y automatizadas.
</p>
<p>ECS ofrece tanto la previsibilidad de una taxonomía especialmente diseñada como la versatilidad de una especificación inclusiva que se adapta a casos de uso personalizados. La taxonomía de ECS distribuye elementos de datos en campos que están organizados en estos tres niveles:
</p>
<table>
<tbody>
<tr>
	<td style="background-color: rgb(223, 223, 223);"><strong>Nivel</strong>
	</td>
	<td style="background-color: rgb(223, 223, 223);"><strong>Descripción</strong>
	</td>
	<td style="background-color: rgb(223, 223, 223);"><strong>Recomendación</strong>
	</td>
</tr>
<tr>
	<td><strong>Campos centrales de ECS</strong>
	</td>
	<td>Conjunto de nombres de campo totalmente definido que existe bajo un conjunto definido de objetos de nivel superior de ECS
	</td>
	<td>Estos campos son comunes a la mayoría de los casos de uso, por lo que el trabajo debe comenzar aquí
	</td>
</tr>
<tr>
	<td><strong>Campos extendidos de ECS</strong>
	</td>
	<td>Conjunto de nombres de campo parcialmente definido que existe bajo el mismo conjunto de objetos de nivel superior de ECS
	</td>
	<td>Los campos extendidos pueden aplicarse a casos de uso más limitados o estar más abiertos a la interpretación según el caso de uso
	</td>
</tr>
<tr>
	<td><strong>Campos personalizados</strong>
	</td>
	<td>Conjunto de campos sin definir y sin nombrar que existe bajo un conjunto de objetos de nivel superior proporcionado por el usuario, que no son de ECS ni deben entrar en conflicto con los campos u objetos de ECS
	</td>
	<td>Aquí es donde puedes agregar campos para los que ECS no tenga un campo correspondiente; aquí también puedes guardar una copia de los campos de eventos originales, como cuando haces la transición de tus datos a ECS
	</td>
</tr>
</tbody>
</table>
<h2>Elastic Common Schema en acción</h2>
<h3>Ejemplo 1: Análisis</h3>
<p>Pongamos a ECS a trabajar en el siguiente log de Apache:
</p>
<pre class="prettyprint">10.42.42.42 - - [07/Dec/2018:11:05:07 +0100] "GET /blog HTTP/1.1" 200 2571 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"
</pre>
<p>El mapeo de este mensaje a ECS organiza los campos del log de la siguiente manera:
</p>
<table>
<tbody>
<tr>
	<td style="background-color: rgb(223, 223, 223);" width="25%"><strong>Nombre del campo</strong>
	</td>
	<td style="background-color: rgb(223, 223, 223);" width="38%"><strong>Valor</strong>
	</td>
	<td style="background-color: rgb(223, 223, 223);" width="37%"><strong>Notas</strong>
	</td>
</tr>
<tr>
	<td>@timestamp
	</td>
	<td><code>2018-12-07T11:05:07.000Z</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>ecs.version
	</td>
	<td><code>1.0.0</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>event.dataset
	</td>
	<td><code>apache.access</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>event.original
	</td>
	<td><code>10.42.42.42 - - [07/Dec ...</code>
	</td>
	<td>Log completo y sin modificaciones para auditorías&nbsp;
	</td>
</tr>
<tr>
	<td>http.request.method
	</td>
	<td><code>get</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.response.body.bytes
	</td>
	<td><code>2571</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.response.status_code
	</td>
	<td><code>200</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>http.version
	</td>
	<td><code>1.1</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>host.hostname
	</td>
	<td><code>webserver-blog-prod</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>message
	</td>
	<td><code>"GET /blog HTTP/1.1" 200 2571</code>
	</td>
	<td>Representación de texto de la información significativa del evento para una visualización precisa en un visualizador de logs
	</td>
</tr>
<tr>
	<td>service.name
	</td>
	<td><code>Company blog</code>
	</td>
	<td>Tu nombre personalizado para este servicio
	</td>
</tr>
<tr>
	<td>service.type
	</td>
	<td><code>apache</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>source.geo.*
	</td>
	<td>
	</td>
	<td>Fields for geolocation
	</td>
</tr>
<tr>
	<td>source.ip
	</td>
	<td><code>10.42.42.42</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>url.original
	</td>
	<td><code>/blog</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>user.name
	</td>
	<td><code>-</code>
	</td>
	<td>
	</td>
</tr>
<tr>
	<td>user_agent.*
	</td>
	<td>
	</td>
	<td>Campos que describen al agente usuario
	</td>
</tr>
</tbody>
</table>
<p>Como se muestra arriba, el log sin procesar se preserva en el campo <code>event.original</code> de ECS para admitir casos de uso de auditorías. Además, ten en cuenta que por una cuestión de simplicidad, en este ejemplo se omiten algunos detalles sobre el agente de monitoreo (en el campo <code>agent.*</code>), algunos detalles sobre el host (en el campo <code>host.*</code>) y algunos campos más. Para obtener una representación más completa, revisa este <a href="https://gist.github.com/webmat/fc4902a61abf1cacbd5b717f1a3a6935">evento de ejemplo en JSON</a>.
</p>
<h3>Ejemplo 2: Búsqueda</h3>
<p>Piensa en una investigación sobre la actividad de una IP específica a través de una pila web completa: Un firewall de Palo Alto Networks, HAProxy (como lo procesa Logstash), Apache (mediante el módulo Beats), Elastic APM y además, Suricata IDS (personalizado, con su formato EVE JSON).
</p>
<p>Antes de ECS, tu búsqueda para esta IP podría haberse visto así:
</p>
<pre class="prettyprint">src:10.42.42.42 OR client_ip:10.42.42.42 OR apache2.access.remote_ip:10.42.42.42 OR context.user.ip:10.42.42.42 OR src_ip:10.42.42.42
</pre>
<p>Pero si has mapeado todas tus fuentes a ECS, tu búsqueda es mucho más simple:
</p>
<pre class="prettyprint">source.ip:10.42.42.42
</pre>
<h3>Ejemplo 3: Visualización</h3>
<p>El poder de ECS se revela de forma más fácil al ver cómo se puede aplicar a datos uniformemente normalizados de diversas fuentes de datos. Quizás estás monitoreando tu pila web en busca de amenazas con varias fuentes de datos de red: un firewall de Palo Alto de la nueva generación en el perímetro y los eventos y alertas de generación de Suricata IDS. ¿Cómo extraes los campos <code>source.ip</code> y <code>network.direction</code> de cada mensaje de manera tal que permita la visualización centralizada en Kibana y una exploración profunda con dinamización independiente? Con ECS, por supuesto, que te permite hacer un monitoreo centralizado con más facilidad que nunca.
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt71256f06dc672546/5c98d595975fd58f4d12646d/ecs-intro-dashboard-1360.jpg" data-sys-asset-uid="blt71256f06dc672546" alt="Búsqueda de direcciones IP en Kibana mediante Elastic Common Schema" "="">
</p><figcaption>Búsqueda de IP 10.42.42.42</figcaption>
<h2>Beneficios del Elastic Common Schema</h2>
<p>La implementación de ECS unifica todos los modos de análisis disponibles en el Elastic Stack, incluida la búsqueda, la exploración profunda con dinamización, la visualización de datos, la detección de anomalías basada en Machine Learning y las alertas. Una vez que se adopta completamente, los usuarios pueden hacer búsquedas con el poder de los parámetros de búsqueda estructurados y no estructurados. Además, ECS optimiza tu capacidad de correlacionar automáticamente los datos de diferentes fuentes, ya sea de dispositivos diferentes de un solo proveedor o de tipos de fuentes de datos completamente diferentes.
</p>
<p>ECS también reduce la cantidad de tiempo que tu equipo dedica al desarrollo de contenido de analíticas. En lugar de crear nuevas búsquedas y dashboards cada vez que tu organización agregue una nueva fuente de datos, podrán continuar aprovechando sus búsquedas y dashboards existentes. ECS también le facilitará enormemente a tu entorno la adopción de contenido de analíticas directamente de otras partes que usan ECS, ya sea Elastic, un socio o un proyecto de open source.
</p>
<p>Al hacer un análisis interactivo, ECS hace que sea más fácil recordar nombres de campo usados comúnmente, ya que hay un solo conjunto, en lugar de un conjunto diferente para cada fuente de datos. Con ECS, también es más fácil deducir nombres de campo olvidados, porque (salvo pocas excepciones) la especificación sigue una convención de nomenclatura simple y estándar.
</p>
<p>¿No quieres comenzar a adoptar ECS? No hay problema: estará aquí cuando lo necesites, pero no será un requisito si no lo necesitas.
</p>
<h2>Primeros pasos con el Elastic Common Schema</h2>
<p>ECS está disponible para revisión a través de un <a href="https://github.com/elastic/ecs">repositorio público de GitHub</a>. Actualmente, la especificación está en versión Beta2 y pronto estará disponible para el público en general. Está publicado bajo la licencia de open source de Apache 2.0, lo que permite la adopción universal por parte de la comunidad de Elastic en general.
</p>
<p><strong></strong>
</p>
<p>Suena automágico, ¿verdad? Bien, como con cualquier esquema, la implementación de ECS no es una tarea trivial. Pero si ya has configurado una plantilla de índice de Elasticsearch y has escrito algunas funciones de transformación con el nodo de ingesta de Logstash o Elasticsearch, tendrás cierta noción de lo que esto implica. Las versiones futuras de los módulos Elastic Beats producirán eventos con el formato de ECS de manera predeterminada y optimizarán esta parte de la transición. El nuevo <a href="/es/blog/introducing-auditbeat-system-module">módulo de sistemas para Auditbeat</a> es el primero de muchos.
</p>
<p>Para obtener más información sobre ECS, puedes ver nuestro seminario web <a href="/es/webinars/introducing-the-elastic-common-schema">Elastic Common Schema (ECS)</a>. En próximos artículos del blog, veremos cómo mapear tus datos a ECS (incluidos los campos que no están definidos en el esquema) y las estrategias para migrar a ECS.
</p>
<h2>Obtén más información</h2>
<ul>
	<li><a href="/es/blog/migrating-to-elastic-common-schema-in-beats-environments">Migración a Elastic Common Schema (ECS) en ambientes de Beats</a></li>
</ul>

Articles by Mark Settle

Novedades en Elastic Security 7.13: Equipar a los analistas con contexto fundamental

Elastic Security 7.9 agrega antimalware, protecciones del cloud prediseñadas y más

Lanzamiento de Elastic Security 7.6.0

Presentamos el Elastic Common Schema

Productos

Compañía

Recursos

Soluciones

Elastic (ELK) Stack

NUEVO

Articles by Mark Settle

Novedades en Elastic Security 7.13: Equipar a los analistas con contexto fundamental

Elastic Security 7.9 agrega antimalware, protecciones del cloud prediseñadas y más

Lanzamiento de Elastic Security 7.6.0

Presentamos el Elastic Common Schema