Todo analista SOC conoce el procedimiento: se activa una alerta y los siguientes diez minutos se dedican a alternar entre un panel de triaje, una búsqueda de amenazas, un expediente de caso y la herramienta de IA que te indicó que mirases desde el principio.
Recientemente, presentamos MCP Apps para Elastic, construida sobre la extensión abierta MCP Apps del Model Context Protocol, que permite a una herramienta MCP devolver una interfaz interactiva junto con su respuesta textual, renderizada en línea en Claude Desktop, Claude.ai, VS Code Copilot, Cursor o cualquier host compatible. Esta publicación profundiza en la aplicación Elastic Security MCP. Repasaremos seis paneles interactivos que cubren el bucle central del SOC, desde el triaje de alertas hasta el caso cerrado, sin abandonar la conversación.
Elastic ya incluye agentes de IA dentro de la plataforma: Attack Discovery y Agent Builder funcionan de forma nativa con tus datos de seguridad en Kibana. Pero los analistas e ingenieros de seguridad también dedican tiempo a Claude, VS Code y Cursor, escribiendo lógica de detección, investigando amenazas y clasificando cada vez más los hallazgos. La cuestión no es si usar la IA integrada de Elastic o herramientas externas. Es si las herramientas externas pueden ofrecerte el mismo flujo de trabajo interactivo y visual que tienes en Kibana. Eso es lo que soluciona la aplicación Security MCP.
Las operaciones de seguridad son inherentemente visuales e interactivas. Un analista escanea las alertas agrupadas por host, amplía un árbol de procesos, rastrea una cadena padre-hijo y arrastra una entidad sospechosa a un grafo de investigación. Ese bucle no sobrevive a la compresión en texto. La aplicación MCP de Elastic Security incorpora esas superficies a la conversación sobre IA, así que la respuesta es el flujo de trabajo, no un resumen de él.
Por qué la aplicación Elastic Security MCP es importante para el SOC
Cuando un agente le dice a un analista SOC: "Hay 47 alertas en host-314, aquí tienes un resumen", no hizo ningún trabajo. Simplemente apunta a donde empieza el trabajo. El trabajo real está en la lista de alertas, el árbol de procesos, el gráfico de investigación y el expediente del caso. No puedes hacerlo a partir de un párrafo de texto.
La aplicación de seguridad MCP devuelve el flujo de trabajo en sí. El analista aplicar al agente, y este devuelve un panel interactivo en el chat donde el analista puede introducir alertas, realizar búsquedas de amenazas, correlacionar cadenas de ataques y abrir casos, sin perder el hilo de la conversación. Todo lo que haces en la app MCP se escribe en Elasticsearch y Kibana a través de las mismas APIs que usa el producto. Desde casos, alertas y hallazgos hasta consultas de búsqueda; no pierdes nada de este contexto porque no solo está en el chat, sino que todo está almacenado en tu clúster elástico y en los entornos Kibana, esperando ser recogido cuando estés listo.
Seis dashboards interactivos
Elegimos seis elementos que se corresponden con el bucle central del SOC: detectar, triage, cazar, correlacionar, responder y probar. Cada uno es una interfaz de React que se renderiza en línea cuando el agente llama a la herramienta correspondiente:
| Herramienta | What it does | UI interactiva |
|---|---|---|
| Clasificación de alertas | Recupera, filtra y clasifica las alertas de seguridad | Agrupación de severidad, tarjetas de veredicto de IA, árbol de procesos y eventos de red |
| Attack Discovery | Análisis de cadena de ataque correlacionado por AI con generación bajo demanda | Cartas narrativas de ataque con puntaje de confianza, riesgo de entidad y mapeo MITRE |
| Gestión de casos | Crear, buscar y gestionar casos de investigación | Lista de casos con alertas, observables, pestañas de comentarios y acciones de IA |
| Reglas de detección | Navega, ajusta y gestiona las reglas de detección | Navegador de reglas con búsqueda KQL, validación de consultas y análisis ruidoso de reglas |
| Búsqueda de amenazas | ES|QL workbench with entity investigation | Query editor, clickable entities, and investigation graph |
| Datos de muestra | Generar eventos de seguridad ECS para escenarios de ataque comunes | Selector de escenarios con cuatro cadenas de ataque predefinidas |
Cada herramienta devuelve un resumen de texto compacto sobre el que el modelo puede razonar, junto con la interfaz interactiva sobre la que actúa el analista. La interfaz también puede obtener datos frescos entre bastidores a través del puente de host MCP. El modelo completo de la herramienta y la API del puente están en el documento de arquitectura del repositorio.
La app también incluye habilidades de escritorio de Claude, SKILL.md archivos que muestran al agente cuándo y cómo usar cada herramienta. Puedes descargar los zips de habilidades preconstruidos de la última versión.
De la alerta al caso
Las cinco habilidades cubren el bucle central del SOC. Cada uno detecta un prompt, llama a una herramienta y devuelve un panel interactivo junto a un resumen de texto sobre el que el modelo razona. La guía que aparece empieza desde cero; Si sigues el ritmo, el primer paso llena el clúster para que el resto del bucle tenga datos con los que trabajar.
Genera datos de muestra. ¿Empezar con un racimo nuevo? La habilidad de Datos de Ejemplo genera eventos realistas de seguridad ECS para cuatro escenarios de ataque comunes: ransomware, movimiento lateral, robo de credenciales y exfiltración de datos. Pide al agente que genere datos de muestra, elige un escenario y, en cuestión de segundos, tendrás una cola de alertas llena para trabajar. Todo lo que sigue en este recorrido emplea estos eventos.
Alertas de triaje. Pide al agente que triaje por anfitrión, regla, usuario o ventana temporal. La habilidad Triaje de Alertas devuelve un panel de veredictos de IA por encima de la lista de alertas en bruto, con un veredicto por regla de detección que clasifica la actividad de esa regla como benigna, sospechosa o maliciosa, cada uno con un puntaje de confianza y una acción recomendada. Haz clic en cualquier alerta para abrir una vista detallada con un árbol de procesos, eventos de red, alertas relacionadas y etiquetas MITRE ATT&CK. No hay que cambiar de pestaña entre tu herramienta de IA y el panel de alertas dentro de Kibana; Todo ocurre en tiempo real dentro de la conversación.
Busca amenazas. Pide al agente que busque entre tus índices. La habilidad Caza de Amenazas devuelve un ES|QL Workbench con la consulta precompletada y autoejecutada, con cada entidad en los resultados clicable para profundizar. El modelo escribe un breve resumen debajo de la tabla: qué es inusual, qué está conectado y qué merece la pena examinarlo más de cerca. Luego ofrece el siguiente giro: adentrar más en la búsqueda de amenazas o pasar a otra habilidad. Atacar el Descubrimiento es el siguiente paso natural; Recopila más contexto sobre las alertas que clasificaste y las amenazas que cazaste, correlacionándolas en cadenas de ataque.
Ejecuta Descubrimiento de Ataque. La habilidad Descubrimiento de Ataque activa la API de Descubrimiento de Ataques y devuelve una lista ordenada de hallazgos. Cada hallazgo es un conjunto de alertas relacionadas unidas en una sola cadena de ataques, con tácticas MITRE, un puntaje de riesgo, una etiqueta de confianza y los anfitriones y usuarios afectados que aparecen al principio. El resumen del agente queda por debajo de los hallazgos en el mismo orden de rango, y la conversación ahora contiene todo lo necesario para actuar: consultas de búsqueda, decisiones de triaje, cadenas correlacionadas, todo preparado para el siguiente paso.
Abrir casos sin salir del chat. Aprueba los hallazgos en masa o pide al agente que abra casos para alertas específicas. La habilidad de Gestión de Casos crea un caso por cada hallazgo aprobado (alertas de fuente adjuntas y tácticas MITRE heredadas de la cadena de ataques) y convierte la lista de casos en tiempo real en línea. Haz clic en un caso para ver su vista de detalles, que incluye una fila de botones de acción de IA: Resumir caso, Sugerir los siguientes pasos, Extraer IOCs y Generar línea de tiempo. Cada uno devuelve un prompt estructurado al chat, para que el agente capte el contexto del caso sin necesidad de reintroducirlo. El resumen del agente está debajo de la lista de casos y cubre toda la cola de IR, incluyendo los casos recién abiertos y los hallazgos anteriores que aún requieren uno.
Cada paso de esta guía repite el mismo bucle: llega un prompt, la habilidad lo detecta y la herramienta devuelve un resumen de texto compacto para que el modelo razone, junto con una interfaz interactiva sobre la que actúa el analista. Encadena las habilidades y se componen en un flujo SOC de extremo a extremo; Hunt, triage, correlacionar, abrir casos y manejar el siguiente pivote, todo con el modelo que lleva el contexto de la sesión en cada paso. Invoca cualquiera por sí sola y sigue siendo el panel completo, apuntando a cualquier porción de tus datos que menciones. En cualquier caso, el trabajo se acumula dentro de la conversación; No hay cambio de pestañas, ni copiar-pegar, ni traspasos.
Una habilidad más completa la app: un navegador de reglas de detección para ajustar reglas ruidosas, filtrar por tipo de regla y marcar detecciones de alto ruido. Una publicación de seguimiento profundizará en los seis paneles: gráfico de investigación, lienzo de flujo de ataque y guía de extremo a extremo.
Aquí tienes la guía completa de esta demo.
Cómo emplea el equipo de InfoSec de Elastic la aplicación Security MCP
El valor de la aplicación MCP aumenta cuando la conversación tiene acceso a más que solo Elastic Security. En un flujo de trabajo SOC real, una sola alerta suele generar preguntas que abarcan múltiples sistemas: casos en Kibana, hilos en Slack, problemas en Jira y registros de infraestructura en la nube. Tradicionalmente, un analista pivotaba manualmente entre cada una de esas herramientas, ensamblando el contexto una pestaña a la vez.
Con la aplicación Security MCP conectada junto a servidores MCP para Slack, Jira y plataformas en la nube, el agente puede recopilar la imagen completa en una sola conversación: revisar un caso y sus alertas adjuntas, cruzar los canales de Slack para interrupciones relacionadas o cambios previstos, comprobar en Jira si hay problemas conocidos y compilar un resumen forense que cubra la causa raíz y las acciones ya tomadas, y tareas pendientes, todo antes de que el analista escriba una sola nota. Una vez revisado y aprobado el análisis, el agente responde con los resultados: un comentario estructurado sobre el caso Kibana, un resumen publicado en el canal correspondiente de Slack y alertas cerradas con contexto adjunto.
Las alertas en la nube se benefician igual. La actividad extraña en un entorno de nube suele resultar ser una caída conocida o un cambio de infraestructura ya en discusión en Slack o Jira. El agente puede comprobar esas fuentes en segundos, correlacionar el contexto y cerrar la alerta con una explicación o escalarla con la imagen completa ya adjunta.
La aplicación MCP para Elastic Security conecta la detección automatizada y la búsqueda manual. Al reunir nuestros datos de seguridad directamente en una única interfaz dentro de Claude Desktop, detectamos amenazas 'silenciosas' en menos de una hora — riesgos que no activaban alertas estándar pero requerían acción inmediata. Es un multiplicador de fuerza para nuestros analistas. — Mandy Andress, Directora de Seguridad de la Información (CISO), Elastic
¿Cómo funciona?
Cada aplicación MCP es un pequeño servidor de Node.js cuyas herramientas devuelven tanto un resumen de texto compacto del modelo como una interfaz de React que el anfitrión renderiza en línea. El servidor expone dos capas: herramientas orientadas al modelo que llama el LLM (devolviendo resúmenes ligeros para razonamiento), y herramientas solo de aplicación que la interfaz de usuario llama en secreto para la interactividad, como expandir árboles de procesos o ejecutar ES|Consultas QL. Cada vista es una aplicación React autónoma renderizada en un iframe sandbox. Como está construido sobre la especificación abierta de la aplicación MCP, el mismo servidor funciona en cualquier host compatible; Consulta el documento de arquitectura del repositorio para el diseño completo
El SOC agente, interactivo
Dos propiedades sobre este patrón merecen ser mencionadas directamente. Primero, el resultado de la herramienta ya no es el final del trabajo; Es el inicio: la conversación devuelve una interfaz sobre la que puedes actuar, no un resumen desde el que puedas actuar. Segundo, esto solo funciona porque Elasticsearch y Kibana ya exponen las APIs de seguridad. La aplicación MCP es una capa interactiva fina sobre las capacidades de detección, investigación y gestión de casos que Elastic Security ya ofrece.
Attack Discovery ya impulsa la vista de hallazgos correlacionados dentro de esta aplicación. Dentro de la pila, el mismo patrón agente va más allá: los flujos de trabajo elásticos automatizan los pasos deterministas (enriquecer entidades, crear casos y aislar hosts), mientras que el Constructor de Agentes razona sobre los datos e invoca esos flujos de trabajo como herramientas. La aplicación MCP incorpora esa misma superficie de seguridad a la conversación externa; Workflows y Agent Builder lo profundizan dentro de la pila. Puntos de entrada diferentes, mismas APIs de seguridad Elastic debajo.
Esa elección arquitectónica es deliberada. El servidor MCP se ejecuta en la propia máquina del analista y se conecta directamente a Elasticsearch usando su clave API. El LLM solo recibe resúmenes compactos para el razonamiento, mientras que la interfaz carga de forma independiente los datos completos de investigación a través del mismo servidor. Agrega una superficie para analistas que ya trabajan en Claude, VS Code o Cursor sin introducir una dependencia que tengan que adoptar ni un modelo de gobernanza que reconstruir. Los mismos controles de acceso basados en roles que aplicas a través de tus claves API de Elasticsearch se aplican a cada acción que realiza la app, lo que significa que el resultado operativo es sencillo: los analistas pasan menos tiempo cambiando de herramienta y más tiempo cerrando casos.
Prueba la aplicación Elastic Security MCP
La aplicación Elastic Security MCP requiere Elasticsearch 9.x con Security activada, además de Kibana para casos, reglas y Descubrimiento de ataques. El camino más rápido es el paquete de .mcpb de un solo clic de la última versión; haz doble clic en Claude Desktop y te pedirán la URL de Elasticsearch y la clave API. Las guías de configuración para Cursor, VS Code, Claude Code, Claude.ai y compilar desde el código fuente están en el repositorio.
¿Aún no tienes un clúster de Elasticsearch? Empieza una prueba gratis de Elastic Cloud. Para más información sobre los bloques básicos detrás de la aplicación, consulta las publicaciones relacionadas de Security Labs sobre Flujos de Trabajo Elásticos y Constructor de Agentes, Habilidades de Agentes y Descubrimiento de Ataques.
El lanzamiento y el momento de cualquier característica o funcionalidad descrita en esta publicación quedan a discreción exclusiva de Elastic. Es posible que cualquier característica o funcionalidad que no esté disponible en este momento no se lance a tiempo o no se lance en absoluto.