Jamie HyndsMia LaVada

Desde la clave API hasta la detección de amenazas en tiempo real en minutos: cómo Elastic Security absorbe Google Threat Intelligence

Descubre cómo Elastic Security absorbe Google Threat Intelligence para una detección continua y emplea flujos de trabajo impulsados por IA para enriquecer alertas en tiempo real, desde la clave API hasta las detecciones en tiempo real en minutos.

Elastic Security ingiere de forma nativa Google Threat Intelligence: IPs, dominios, URLs y hashes de archivos conocidos como maliciosos, que coinciden con tu telemetría en el momento en que aparecen, cada uno con un veredicto y un puntaje de amenaza de 0–100. La configuración consiste en una clave API y dos flujos de datos, sin infraestructura adicional. Cuando un indicador es ambiguo, los flujos de trabajo construidos en Agent Builder consultan VirusTotal en tiempo real, enriquecen la alerta, correlacionan con tu telemetría y resumen los hallazgos en tiempo real.

Cómo funciona la inteligencia de amenazas en Elastic Security

En las operaciones de seguridad modernas, la inteligencia de amenazas debe trabajar en detección, investigación y respuesta, no estar en una tabla de referencia.

Elastic Security apoya esto de dos maneras. La inteligencia absorbida a través de integraciones impulsa la detección continua y la búsqueda histórica. Los flujos de trabajo agentes, basados en Elastic Workflows y Agent Builder, proporcionan enriquecimiento bajo demanda y razonamiento investigativo durante una investigación activa. Esta publicación se centra en cómo la integración de Google Threat Intelligence (GTI) de Elastic impulsa la detección y caza basada en la ingestión, y cómo encaja en un modelo SOC más amplio y dinámico donde los flujos de trabajo impulsados por IA emplean esa inteligencia en el momento de alerta.

Lo que ofrece Google Threat Intelligence

La integración de Google Threat Intelligence integra la inteligencia de amenazas seleccionada directamente en Elastic Security, haciéndola accionable tanto en detección como en investigación. GTI combina inteligencia de la visibilidad global de seguridad de Google con los datos de VirusTotal para ofrecer un contexto enriquecido sobre indicadores de compromiso, cubriendo malware, ransomware, phishing, robos de información, infraestructuras maliciosas, actores de amenazas y otras actividades adversarias.

Cada indicador se devuelve con: un veredicto (Malicioso, Sospechoso o No Detectado), una gravedad y un puntaje compuesto de amenaza de 0 a 100. Como ese puntaje se deriva de múltiples señales, los equipos de seguridad pueden priorizar indicadores basar en la confianza y no solo en su presencia.

Cómo funciona la integración de Google Threat Intelligence en Elastic Security

La instalación dura solo unos minutos. Proporcionas tu clave API GTI en la integración de Elastic, y la ingestión comienza en un intervalo de sondeo programado, sin necesidad de infraestructura adicional ni de recolectores. La integración ingiere dos flujos de datos principales.

ObjetivoLista de amenazasFlujo IOC
ObjetivoDetección de alta confianzaCaza de amenazas + visibilidad temprana
VolumenSeleccionado, con menor volumenMás amplio y con mayor volumen
Lo mejor paraAlerta crítica de precisiónActividad emergente y exploratoria

A medida que se ingieren datos, los indicadores se estandarizan empleando el Esquema Común Elástico (ECS), junto con el contexto GTI, como veredicto, gravedad, puntaje, familias de malware, asociaciones de actores amenazadores y metadatos de campañas (cuando están disponibles). Esto permite que GTI se busque y correlacione de forma consistente junto con otras fuentes de inteligencia compatibles con ECS (incluyendo las fuentes TAXII), inteligencia personalizada y la telemetría de seguridad más amplia ya presente en Elastic Security. Elastic también gestiona automáticamente el ciclo de vida de los indicadores, incluyendo caducidad y revocación, lo que reduce las coincidencias contra inteligencia obsoleta. Una vez ingeridos, los indicadores GTI se convierten en parte del mismo conjunto de datos buscable que los logs, los endpoints y la telemetría en la nube, permitiendo una correlación unificada en todo el entorno.

Uso de Google Threat Intelligence para la detección de coincidencias de indicadores

Las reglas de coincidencia de indicadores de Elastic emplean datos GTI para detectar cuándo aparecen IPs, dominios, URLs o hashes de archivo maliciosos conocidos en la telemetría de seguridad, correlacionando continuamente la inteligencia con la actividad observada y haciendo coincidencias para investigar. Debido a que GTI proporciona campos estructurados como puntaje, veredicto y gravedad, los equipos pueden ajustar las detecciones por confianza: los indicadores de alta confianza pueden desencadenar una escalada inmediata, mientras que los de menor confianza pueden ser redirigidos para revisión o validación adicional.

Caza de amenazas con indicadores GTI en Elastic Security

Con los metadatos GTI, los analistas pueden pivotar de un único IOC a toda la infraestructura asociada y buscar en telemetría histórica; No solo comprobar si apareció un indicador, sino también entender a qué campaña pertenece.

GTI enriquece indicadores con metadatos como asociaciones de actores amenazadores y contexto de familias de malware, permitiendo a los analistas ir más allá de búsquedas de un solo IOC. Los cazadores pueden pivotar de un adversario o campaña a todos los indicadores asociados (IPs, dominios y hashes de archivos) y buscar en telemetría histórica usando ES|QL. Esto facilita determinar si alguna infraestructura maliciosa conocida interactuó alguna vez con el entorno.

Monitorización de la actividad de inteligencia de amenazas con paneles de control GTI

La integración incluye paneles preconstruidos que ofrecen visibilidad sobre la actividad de inteligencia de amenazas y los discos de detección GTI. Empleando búsquedas almacenadas y métricas agregadas, estos paneles resumen las amenazas observadas a través de familias de malware, campañas, actores de amenazas, kits de herramientas y vulnerabilidades, ayudando a los equipos SOC a entender qué tipos de amenazas están más activos en su entorno y cómo se está operacionalizando la inteligencia.

Categorías y cobertura del feed de Threat Intelligence de Google

GTI incluye 14 categorías de feeds categorizadas, para que las organizaciones puedan adaptar la cobertura a sus necesidades y nivel de subscripción. Las categorías soportadas incluyen:

  • Minadores de criptomonedas
  • Amenazas en tendencia
  • Vectores de acceso y entrega iniciales
  • Robadores de información
  • Amenazas del IoT
  • Malware en Linux
  • Infraestructura maliciosa
  • Malware general
  • Amenazas móviles
  • Amenazas de macOS
  • Phishing
  • Ransomware
  • Actores de amenaza
  • Explotación de vulnerabilidades y armamento

La disponibilidad depende de tu nivel de subscripción a Google Threat Intelligence, y se pueden habilitar feeds adicionales sin cambios en la configuración de Elastic.

Enriquecimiento agente y triaje en tiempo real con flujos de trabajo elásticos

Para indicadores ambiguos o emergentes que aún no están en un feed indexado, Elastic Security apoya investigaciones impulsadas por IA a través de Agent Builder y Elastic Workflows, que complementan la ingesta de inteligencia permitiendo el enriquecimiento y el razonamiento en tiempo real durante una investigación.

Con los flujos de trabajo, un analista ya no está limitado a la inteligencia ya presente en el índice. Durante la triaje de alertas, un flujo de trabajo puede consultar servicios externos de inteligencia y reputación como VirusTotal en tiempo real, enriquecer una alerta con contexto fresco sobre las IPs, dominios o hashes de archivos implicados, correlacionar esa inteligencia en tiempo real con la telemetría Elastic y resumir los hallazgos en un contexto de investigación estructurado sobre el que el analista puede actuar. Agent Builder amplía esto aún más: los equipos pueden componer capacidades reutilizables y específicas de cada tarea, como habilidades de agente para triaje de alertas, enriquecimiento o gestión de casos, de modo que el asistente ejecute tareas investigativas de varios pasos con la coherencia de la automatización tradicional, a través de una interfaz en lenguaje natural.

Esto introduce un modelo complementario. La inteligencia ingerida (GTI, TAXII y feeds personalizados) proporciona detección continua y búsqueda histórica contra indicadores que ya posees. Los flujos de trabajo agentivos proporcionan enriquecimiento bajo demanda y razonamiento investigativo en el momento de alerta, contactando con fuentes en tiempo real y reuniendo contexto sobre la marcha. En conjunto, permiten a los equipos detectar amenazas conocidas a gran escala y proporcionar contexto a las investigaciones.

Empezar con la inteligencia de amenazas de Google en Elastic Security

Para emplear la integración de Google Threat Intelligence en Elastic Security, necesitas una licencia GTI activa y una clave API.

  1. Instalar: abre el catálogo de Integraciones en Kibana → busca "Google Threat Intelligence" → agrega integración → introduce tu clave API
  2. Configura los flujos de datos: activa la Lista de Amenazas (detecciones de alta confianza) y el Flujo IOC (cobertura de caza) → configura la frecuencia de sondeo para que se ajuste a los límites de la API y a las necesidades operativas
  3. Ajuste: reglas de partida indicadoras predefinidas se activan automáticamente; Si el volumen de alertas es alto, comienza filtrando el umbral de confianza

Todos los indicadores se almacenan en Elasticsearch y son accesibles a través de la vista de datos de inteligencia de amenazas GTI, lo que permite la búsqueda, correlación y lógica de detección personalizada. Los detalles completos de configuración y la guía para la solución de problemas están disponibles en la documentación oficial.

Uniéndolo todo

La inteligencia de amenazas solo importa si un equipo puede actuar en consecuencia. Al incorporar Google Threat Intelligence a Elastic Security, los equipos SOC obtienen una detección basada en la ingestión que se ejecuta continuamente a través de su telemetría y razonamiento de investigación dirigido por agentes sobre esa inteligencia en tiempo real. La combinación permite que la inteligencia de amenazas opere de forma continua y contextual, ayudando a los analistas a pasar de indicadores a tomar decisiones seguras más rápido.