Sneha Sachidananda

Empieza con Elastic Security desde tu agente de IA

Pasa de cero a un entorno de seguridad Elastic completamente poblado sin salir de tu IDE, usando Habilidades de Agente de código abierto.

3 min de lecturaActualizaciones de productos, habilitación, IA generativa
Empieza con Elastic Security desde tu agente de IA

Empieza con Elastic Security desde tu agente de IA

Elastic Agent Skills son paquetes de código abierto que proporcionan a tu agente de codificación de IA experiencia nativa en Elastic. Si ya usas Elastic Agent Builder, obtienes agentes de IA que trabajan de forma nativa con tus datos de seguridad. Las Habilidades de Agente son para la otra parte: llevar ese mismo conocimiento de Elastic Security a las herramientas de IA externas que ya usa tu equipo, como Cursor, Claude Code o GitHub Copilot.

Si usas un agente de codificación de IA y quieres evaluar Elastic Security, o eres un equipo de seguridad que quiere poner con Elastic Security rápidamente sin tener que navegar por la documentación de configuración, estos son para ti. Hoy ofrecemos habilidades de seguridad que te llevan de cero a un entorno de Elastic Security completamente poblado, sin salir de tu entorno de desarrollo integrado (IDE).

Antes de que te adquieras, ten en cuenta que esto es una versión v0.1.0 Libera. Además, revisa esta documentación para conocer los pasos para empezar y las consideraciones importantes de seguridad.

Paso 1: Crear un proyecto de seguridad

Abres tu agente de codificación de IA y te preguntas: Crea un proyecto de seguridad en Elastic Cloud.

La habilidadcreate-project proporciona un proyecto de seguridad serverless de Elastic Cloud a través de la API de Elastic Cloud, gestiona las credenciales de forma segura y te devuelve tus URLs de Elasticsearch y Kibana.

Elastic Cloud Serverless soporta regiones como Amazon Sitio web Services (AWS), Google Cloud Platform (GCP) y Azure, así que puedes elegir la que se adapte a tu entorno.

Un prompt. Proyecto listo.

Paso 2: Generar datos de muestra

Un proyecto vacío de Elastic Security no es muy convincente. Sin alertas, sin plazos, sin árboles de procesos. Necesitas datos, pero no siempre quieres habilitar fuentes reales de datos antes de tener la oportunidad de explorar.

La habilidadgenerate-security-sample-data completa tu proyecto con eventos de seguridad realistas compatibles con Elastic Common Schema (ECS) y alertas sintéticas en cuatro escenarios de ataque:

  • Cadena de ransomware en Windows: De la macro de Word a PowerShell al despliegue de ransomware, completo con árboles de procesos que iluminan la vista del Analizador.
  • Acceso a credenciales: Descargas de memoria LSASS y obtención de credenciales.
  • Escalada de privilegios en la nube de AWS: Manipulación de políticas IAM y creación no autorizada de claves de acceso.
  • Ataque de identidad Okta: Autenticación multifactor (MFA) desactivación de factores y patrones de autenticación sospechosa.

No son eventos aleatorios. Cada alerta corresponde a las técnicas de MITRE ATT& CK. Los árboles de procesos tienen IDs de entidad adecuados, por lo que el Analizador representa las relaciones padre-hijo reales. Attack Discovery recoge las narrativas de amenazas correlacionadas. Tienes la experiencia de un entorno en tiempo real sin necesidad de uno.

Cuando termines de explorar, pide a tu agente de codificación de IA que elimine los datos de muestra. Todos los eventos, alertas y casos de muestra se limpian sin afectar al resto de tu entorno.

Paso 3: ¿Qué sigue luego de los datos de la muestra?

Una vez que tu entorno está poblado, el mismo agente de codificación de IA puede ayudarte a trabajar con él. También estamos proporcionando habilidades para la triagem de alertas (buscar e investigar alertas, clasificar amenazas y reconocer alertas), gestión de reglas de detección (encontrar reglas ruidosas, agregar excepciones y crear nuevas coberturas) y gestión de casos (crear y rastrear casos en centros de operaciones de seguridad [SOC] y vincular alertas a incidentes).

¿Por qué habilidades y no solo documentación?

La documentación de la API de Elastic es pública. Tu agente de IA ya puede leerlo. ¿Entonces por qué importan las habilidades?

Las habilidades importan porque la documentación describe los endpoints individuales y codifica los flujos de trabajo. Hay una diferencia real entre saber que existe POST /api/detection_engine/signals/search y saber que necesitas obtener la alerta no reconocida más antigua, consultar el árbol de procesos y las alertas relacionadas dentro de una ventana de cinco minutos respecto a la hora de activación, comprobar si hay un caso existente antes de crear uno nuevo, anexar la alerta con su UUID de regla y luego reconocer todas las alertas relacionadas en el mismo host, en ese orden, con los nombres de campo correctos, en tres APIs diferentes.

Las habilidades también codifican lo que no se debe hacer: nunca mostrar credenciales en el chat, confirmar antes de crear recursos facturables y manejar las peculiaridades específicas de la API Serverless. Este es el conocimiento experto que convierte a un agente de IA de propósito general en uno que realmente conoce Elastic.

Empezar

Todas las habilidades son de código abierto y funcionan con cualquier agente de codificación de IA compatible:

  • Cursor
  • Claude Code
  • GitHub Copilot
  • Windsurf
  • Cline
  • Código abierto
  • Gemelos CLI

Abre un terminal en tu espacio de trabajo de proyecto y ejecuta:

O instala habilidades específicas:

Consulta el catálogo completo en github.com/elastic/agent-skills.

Compartir este artículo

XFacebook (en inglés)LinkedIn (en inglés)Reddit