Carrie Pascale

Resumen de integraciones de seguridad elástica: primer trimestre de 2026

Elastic Security Labs anuncia nueve nuevas integraciones para Elastic Security que abarcan seguridad en la nube, visibilidad de endpoints, detección de amenazas de email, identidad y SIEM.

5 min de lecturaActualizaciones de producto

Un análisis trimestral del ecosistema de integraciones de seguridad de Elastic

Los equipos de seguridad solo pueden proteger lo que pueden ver. Las lagunas en la cobertura, como una flota de macOS que genera registros que nunca llegan a tu SIEM, una pasarela de email que se ejecuta aisladamente, o un entorno en la nube que produce hallazgos que permanecen aislados en la consola del proveedor, son fácilmente explotadas por los atacantes.

La respuesta de Elastic a esto es la inversión continua y abierta en integraciones de terceros, basada en la creencia de que un ecosistema de seguridad estable requiere integraciones profundas que hagan que los datos de cada rincón de la pila sean buscables y contextualizados. Hoy anunciamos nueve nuevas integraciones para Elastic Security que abarcan seguridad en la nube, visibilidad de endpoints, detección de amenazas de email, identidad y SIEM.

Cada integración incluye pipelines de ingesta que normalizan y estructuran los datos desde el primer momento, junto con paneles preconstruidos que sirven como punto de partida inmediato para la visualización y el análisis, para que los equipos puedan buscar, correlacionar e investigar entre nuevas fuentes de datos desde el primer día sin necesidad de escribir ni mantener parsers.

Eventos de seguridad en macOS

Elastic Defend, la integración nativa que ofrece Elastic Endpoint Security, recopila una telemetría de seguridad rica en macOS y se centra intencionadamente en señales de detección de alto valor en lugar de auditorías completas del sistema. Los eventos de inicio de sesión y cerrar sesión, la creación y eliminación de cuentas, los cambios en el registro de servicios y los registros de diagnóstico de aplicaciones están fuera de ese alcance, dejando a los cazadores de amenazas y equipos de IR sin un contexto completo de macOS. La integración de Eventos de Seguridad de macOS complementa Elastic Defend, proporcionando la misma profundidad de visibilidad a nivel de sistema operativo que se ofrece a los dispositivos Windows a través de la integración de Registros de Eventos de Windows.

Los endpoints de MacOS generan decenas de miles de entradas de registro unificadas por endpoint. Si no se filtra, ese volumen genera ruido en lugar de señales. Esta integración incluye filtros basados en predicados que abarcan la ingestión a eventos relevantes para la seguridad: actividad de autenticación, ejecución de procesos, conexiones de red, cambios en el sistema de archivos y modificaciones de configuración del sistema.

Estos filtros basados en predicados permiten una cobertura completa de macOS sin el costo ni la complejidad de ingerir todo. Una vez ingeridos, estos eventos están disponibles inmediatamente para el Asistente de IA de Elastic Security. Los analistas pueden hacer preguntas en lenguaje natural como "Muéstrame todos los intentos de escalada de privilegios en endpoints de macOS en las últimas 24 horas" o "Resume fallos de inicio de sesión para este host", convirtiendo entradas de registro unificadas en bruto en contexto de investigación accionable sin escribir ni una sola consulta.

Echa un vistazo a la integración de Eventos de Seguridad de macOS .

IBM QRadar

Para los equipos que ejecutan IBM QRadar en paralelo con Elastic Security, la ingestión de alertas en Elastic se volvió más sencilla. La integración de QRadar recopila registros de infracciones de los endpoints de ofensiva y reglas de QRadar, enriqueciendo cada alerta con el nombre, ID, tipo y propiedad de la regla que se activa, para que los analistas puedan hacer triaje en Elastic sin volver a QRadar.

Esta integración es la base del flujo de trabajo de migración SIEM de Elastic para QRadar, que refleja la capacidad ya disponible para Splunk. Los equipos también pueden usar la migración automática para migrar sus reglas QRadar a Elastic. Emplea búsqueda semántica e IA generativa para mapear las reglas existentes a las 1.300+ detecciones preconstruidas de Elastic, y traduce cualquier cosa que no se mapea directamente a ES|QL, que te permite consolidar tu huella SIEM sin tener que reconstruir manualmente toda tu biblioteca de detección.

Echa un vistazo a la integración de IBM QRadar .

Fundamentos de Proofpoint

Para clientes empresariales, el TAP (Targeted Attack Protection) de Proofpoint estuvo disponible en Elastic. Para proporcionar la misma visibilidad de amenazas de email a los entornos de pymes y a los MSP y MSSPs que los atenden, Proofpoint Essentials ya está disponible.

La integración de Proofpoint Essentials abarca cuatro tipos de eventos en Elastic Security:

  • Clics en URLs maliciosas que fueron bloqueadas
  • Clics que sí estaban permitidos
  • Mensajes bloqueados por contener amenazas reconocidas por la Defensa de URL o la Defensa de Adjuntos
  • Mensajes entregados a pesar de contener esas amenazas

Para mostrar fácilmente estos datos, hay disponibles dos paneles preconstruidos:

Para un equipo SOC de pymes, esto significa que los intentos de phishing, la detección de malware y las violaciones de políticas caen en la misma plataforma que el resto de la telemetría de seguridad, eliminando la necesidad de cambiar de plataforma para entender el contexto completo de una amenaza.

Echa un vistazo a la integración de Proofpoint Essentials .

AWS Security Hub

AWS Security Hub agrega hallazgos en todo tu entorno AWS, pero investigar esos hallazgos significa permanecer dentro de la consola de AWS, separado del resto de los datos de seguridad de tu equipo. La integración de Elastic cambia esto al incorporar los hallazgos del Security Hub al formato Elastic in Open Cybersecurity Schema Framework (OCSF) y normalizarlos a ECS, ofreciendo datos consistentes en el esquema que son inmediatamente buscables a través de ES|QL.

Los hallazgos se encuentran en la página de Hallazgos de Vulnerabilidades de Elastic , integrando directamente la postura de seguridad en la nube de AWS en los flujos de trabajo ya existentes. A partir de ahí, puedes correlacionar los datos del Security Hub con señales de otras fuentes —alertas de endpoint, eventos de identidad, telemetría de red— para construir una imagen más completa del riesgo en tu entorno AWS e investigar más rápido de lo que permite la consola nativa.

Echa un vistazo a la integración de AWS Security Hub .

Más nuevas integraciones de Elastic Security

Además de las integraciones destacadas anteriormente, ahora están disponibles las siguientes integraciones, cada una con paneles preconstruidos para un valor inmediato:

  • JupiterOne: Inteligencia de activos y monitorización de superficies de ataques en la nube, ingestión de alertas entre herramientas, hallazgos CVE y detecciones de amenazas enriquecidos con mapeos MITRE ATT&CK y puntajes CVSS, y contexto del host para visibilidad unificada del riesgo.
  • Airlock Digital: Telemetría de control de ejecución y licencia de aplicaciones, captura de ejecuciones bloqueadas de procesos con líneas de comandos, hashes de archivos y contexto del publicador, para que los intentos de ejecución no autorizados sean visibles y correlacionables junto con el resto de tus detecciones en endpoints.
  • Navegador Isla: Eventos de seguridad en navegadores empresariales que abarcan la navegación del usuario, la postura del dispositivo, la detección comprometida de credenciales y la actividad administrativa, extendiendo la visibilidad de Elastic a BYOD y dispositivos no gestionados donde no se pueden desplegar agentes de endpoint tradicionales.
  • Ironscales: eventos de detección de phishing impulsados por IA que capturan metadatos de correos, reputación del remitente, conteos de buzones afectados y enlaces sospechosos, correlacionables con datos de endpoint e identidad para una investigación y respuesta más rápidas.
  • Cyera: Eventos de gestión de postura de seguridad de datos, que ponen a la luz riesgos sensibles de datos como la gravedad de la exposición, el número de registros afectados, violaciones del marco de cumplimiento y la propiedad de almacenes de datos en entornos cloud, para que la exposición de datos sensibles no permanezca aislada en una consola DSPM separada.

Empezar

Estas integraciones son el enfoque abierto de seguridad de Elastic. Las nueve integraciones de este resumen vienen con paneles preconfigurados y mapeos ECS nativos, ofreciendo a tu equipo una visibilidad inmediata sin necesidad de configuración adicional ni visualización personalizada.

A partir de ahí, los hallazgos, alertas y registros están disponibles de inmediato para las capacidades más amplias de detección e investigación de Elastic: Detección de Ataques para resurgir amenazas de varias etapas, Asistente de IA para investigación en lenguaje natural y respuesta guiada, y para ES|QL y EQL para detección personalizada y búsqueda de consultas.

¿Tienes preguntas u opiniones? Únete a #security-siem en el Slack de la comunidad de Elastic Stack.

Compartir este artículo

XFacebook (en inglés)LinkedIn (en inglés)Reddit