Elastic Security al descubierto: Empoderar a los equipos de seguridad con protecciones prediseñadas

Contenido de detección para ingenieros de detección

Elastic Security ahora incluye más de 1100 reglas de detección prediseñadas para que los usuarios de Elastic Security configuren y pongan en marcha sus detecciones y monitoreo de seguridad lo antes posible. De estas más de 1100 reglas, más de 760 son reglas de detección de SIEM que consideran varias fuentes de logs; el resto se ejecutan en endpoints con Elastic Security para Endpoint.

Elastic está comprometido con la transparencia y la apertura con la comunidad de seguridad, y esto es el principal motivo por el que creamos y mantenemos nuestra lógica de detección de forma pública junto con todos los que estén interesados. Para nosotros, es importante compartir nuestra investigación, reglas y demás hallazgos con la comunidad de seguridad a fin de posibilitar el aprendizaje a partir de ellos y fomentar más mejoras.

Además de tener todo este contenido integrado y disponible de inmediato en Elastic Security, también se proporciona a través de repositorios de GitHub públicos (reglas de detección de SIEM, reglas de endpoint).

No nos intimidan las comparaciones con otros productos enfocados en la detección, así que puedes encontrar Elastic Security en la plataforma de Tidal Cyber.

¿Por qué proporcionamos contenido de seguridad?

Somos plenamente conscientes de que no todas las empresas tienen los recursos para investigar nuevas amenazas y lograr las detecciones mediante las características y tecnologías más recientes disponibles. Aquí es donde entra en juego Elastic Security y actúa como recurso adicional para tu equipo de seguridad.

El equipo de TRADE (ingeniería de investigación y detección de amenazas) de Elastic realiza la investigación de amenazas emergentes y de tipo commodity, y desarrolla y mantiene reglas de detección y prevención para nuestros usuarios. El equipo también proporciona comentarios para mejorar los distintos lenguajes de búsqueda que se utilizan para brindar soporte a los casos de uso de seguridad. El equipo de TRADE trabaja en estrecha relación con nuestro equipo de InfoSec interno, además de con otros tantos equipos de ingeniería, a fin de asegurar la integración de los comentarios para mejoras constantes.

En el resto de este blog, nos enfocaremos en cómo aprovechar las reglas de detección de SIEM y el contenido de seguridad que las acompaña, y en cómo se crean. ¡Comencemos!

Proceso de creación de reglas de Elastic

1. Identificar el tema

El proceso de desarrollo de reglas comienza con la identificación del tema en que nos queremos enfocar según las iniciativas de investigación, el panorama de amenazas actual, el análisis de inteligencia y el análisis de cobertura. También tomamos en cuenta las integraciones disponibles y conocidas, la demanda de los usuarios y las tendencias.

2. Estudiar el tema

Una vez identificada la tecnología, amenaza o táctica en la que queremos enfocarnos, la estudiamos. Ve un ejemplo de dicho análisis para Google Workplace. Llegamos a comprender en profundidad la arquitectura y los servicios proporcionados e identificamos técnicas de adversarios potenciales, por lo general mapeadas al marco de trabajo de MITRE ATT&CK®.

3. Crear el laboratorio

Para trabajar en las reglas, es posible que necesitemos un entorno de laboratorio a fin de simular la amenaza, el cual genere los datos necesarios para crear y probar la lógica de detección. El ejemplo anterior te permite ver el detrás de escena de dicha creación del laboratorio para Google Workplace. El mismo enfoque se usa para crear y mantener entornos de laboratorio para todas las fuentes de datos para las que creamos reglas.

4. Trabajar en las reglas

Por lo general, el autor de reglas determina el tipo de regla que se usará; sigue las mejores prácticas para crear una lógica de detección eficiente y con pocos falsos positivos; la prueba, y crea el archivo de regla con todos los campos de metadatos necesarios. La filosofía de TRADE es la esencia del correcto desarrollo y pruebas de reglas.

5. Realizar una revisión con los colegas

A continuación, la regla está lista para la revisión por parte de los colegas. Por supuesto, los revisores también deben comprender la tecnología y las amenazas a las que está dirigida la nueva detección. Es fundamental que los colegas evalúen la lógica de detección existente a fin de identificar casos extremos en los que la lógica tenga el potencial de fallar. Las reglas tienen la capacidad de ser evitadas por una amenaza o generar ruido en los entornos del cliente, por lo que identificar un equilibrio es importante.

6. Consideraciones sobre la cobertura

Al buscar mejorar nuestra cobertura de detección, también verificamos si alguna regla existente podría ajustarse para incluir la nueva detección y si sería razonable desde la perspectiva de los analistas de seguridad cuando investigan las alertas generadas. Esto permite a los autores de reglas enfocarse más en una producción de reglas cualitativa que cuantitativa. 

A veces, en este proceso, determinamos que la regla generaría demasiados falsos positivos y terminamos descartándola para lanzarla como regla de bloque de creación. En otros casos, identificamos las brechas en la cobertura de datos que no nos permiten crear una lógica de detección efectiva y trabajamos con los otros equipos de Elastic para abordarlas, por lo que posponemos la creación de la regla.

Entendemos y prevemos que la cobertura de la regla de detección lista para usar puede no adaptarse perfectamente al entorno de todos, por eso las reglas son editables en Kibana, en caso de que necesites modificarla. Un enfoque más simple es ajustar la regla agregando excepciones para actualizarla según el modelo de amenazas y las particularidades de tu entorno. Puedes leer más sobre nuestro enfoque respecto al desarrollo de reglas para saber qué esperar de nuestras reglas.

Puedes seguir nuestro desarrollo de reglas en el repositorio de reglas de detección. Si tienes una regla que deseas compartir con otros usuarios de Elastic, considera exponerla a la comunidad a través de nuestro repositorio, como han hecho otros.

¡Espera! No se trata solo de reglas nuevas

Además del trabajo de creación de reglas, el equipo dedica una gran cantidad de tiempo al monitoreo y ajuste de reglas existentes. Periódicamente, también definimos como obsoletas las reglas que ya no cumplen con nuestros estándares.

Nos encantan los datos y observamos las últimas 600 solicitudes de extracción realizadas al repositorio de reglas de detección para ver qué tipos de trabajo hemos hecho en las reglas de detección. Como puedes ver en el cuadro siguiente, el ajuste y el mantenimiento superan a la creación de reglas nuevas, dado que queremos mantener una detección de alta calidad y actualizada.

Los investigadores de Elastic Security Labs revisan con frecuencia los datos de telemetría para ver qué reglas necesitan ajustes según la prevalencia de alertas y parámetros específicos de las reglas.

Nuestros usuarios comparten de forma voluntaria la telemetría de Elastic Security, que se usa para mejorar el rendimiento del producto y la eficacia de las características. Por cierto, el reciente Reporte global de amenazas de Elastic se basa en los datos compartidos por nuestros usuarios. En el reporte de amenazas, compartimos nuestras observaciones globales y contexto respecto del panorama de amenazas que puedes usar para orientar la creación de tus reglas personalizadas.

Al revisar la telemetría para determinar la eficacia de las reglas, la identificación de amenazas también se prioriza cuando los ingenieros asumen el rol de investigadores y revisan las alertas por positivos verdaderos (TP). La telemetría de TP requiere su propio flujo de trabajo de priorización exclusivo, pero lleva potencialmente al desarrollo de reglas nuevas o una investigación en más profundidad. TRADE también contribuye con investigación y análisis avanzado en Elastic Security Labs, en especial con los análisis más técnicos, como ingeniería inversa de malware, perfilado de adversarios, descubrimiento de infraestructura y recopilación de indicadores atómicos. Con frecuencia colaboramos con otros equipos de investigación internos en esta investigación. 

Contenido de detección para analistas de seguridad

Las reglas de detección no son solo para que las usen los ingenieros de detección, sino también para los analistas de seguridad que trabajan en investigaciones y priorización de alertas.

Para los analistas de seguridad, proporcionamos contexto de amenazas operativo enriqueciendo las reglas con información adicional, como guías de investigación. Los autores de reglas agregan información sobre el ataque/comportamiento, indicadores para la investigación, falsos positivos, análisis y pasos de corrección. Esta información es muy útil para los analistas que ven la alerta y deben comprender rápidamente por qué se desencadenó y definir los pasos siguientes. La guía de investigación también puede verse dentro de la interfaz de alertas en la solución Elastic Security.

Recomendamos crear guías de investigación también para las reglas personalizadas; son un recurso valioso para los equipos de seguridad.

Estamos trabajando para alcanzar una cobertura total de las reglas de detección de amenazas con guías de investigación. Al momento de esta publicación, aproximadamente el 30 % de todas las reglas prediseñadas tienen guías de investigación. Puedes filtrar con facilidad las reglas prediseñadas con las guías mediante la etiqueta "Investigation Guide".

La telemetría de productos también se usa para la priorización del desarrollo de guías. Buscamos las reglas que nuestros usuarios más usan y brindamos información donde resultará más útil para nuestros clientes.

Nuestro roadmap consiste en la mejora continua de guías de investigación con respecto a recomendaciones sobre priorización y corrección, al igual que mejora de características. Por ejemplo, en las versiones 8.5+ del Elastic Stack, las guías de investigación pueden contener búsquedas de Osquery usables personalizadas que buscarán en endpoints telemetría adicional que puede resultar útil durante el análisis o la priorización.

Si tienes comentarios o sugerencias para las guías de investigación, abre un ticket de GitHub para informarnos. ¡Valoramos los aportes de la comunidad!

Si bien la lógica de detección de calidad es esencial para ayudar a identificar amenazas potenciales, también comprendemos la importancia del contexto adicional respecto a una amenaza específica que puede ser útil para los analistas. Con reglas de detección prediseñadas, Elastic busca brindar contexto sobre la regla en sí.

Además de las guías de investigación, mapeamos todas las reglas a su matriz específica de MITRE ATT&CK e identificamos la gravedad y el riesgo de la alerta por ti. Además, si bien ingestar varias fuentes de datos puede ser confuso al elegir las reglas aplicables, ayudamos a identificar qué integraciones son necesarias para reglas específicas. Puedes usar el campo Related Integrations (Integraciones relacionadas) para navegar a una integración relevante, configurarla y (de ser necesario) habilitar la regla relacionada para asegurarte de tener ingestados los sets de datos correctos.

Las actualizaciones de reglas, incluido el contexto adicional, se lanzan con frecuencia fuera de banda y se proporcionan a los usuarios directamente en la solución Elastic Security. Recomendamos actualizar el Stack a las versiones recientes, para que las reglas que dependen de las nuevas características de seguridad puedan usarse al 100 %.

¿Algo más?

El equipo de TRADE también trabaja en una característica de reglas de detección llamada Red Team Automation (RTA) y la publica. Esta característica, escrita en Python, ayuda en las pruebas de las reglas. Los scripts de RTA se usan para generar TP benignos y ayudan al equipo a automatizar las pruebas de regresión de las reglas de detección en varias versiones de la solución Elastic Security. También puedes usar los scripts de RTA publicados para realizar pruebas o puedes crear nuevos para tus reglas personalizadas.

Para un análisis detallado de RTA y otras herramientas que proporciona el equipo, lee este blog.

Mantente atento a más novedades

Como puedes ver, nuestro objetivo es brindar contenido prediseñado en todo el flujo de trabajo de detección y el ciclo de vida de las reglas; desde la creación de reglas hasta el uso, mantenimiento y pruebas. Nuevamente, todo este contenido se proporciona dentro del producto y se comparte de forma abierta con la comunidad a través de GitHub.

Siempre buscamos hacer que los sistemas de nuestros clientes sean más seguros y que la vida de sus equipos sea más fácil. No dudes en contactarte con nosotros para compartir tus ideas y problemas. Puedes comunicarte con nosotros a través de la comunidad de Slack o haciendo una publicación en nuestro foro de debate.