Tous les analystes SOC connaissent l'exercice : une alerte se déclenche et les dix minutes suivantes sont consacrées à basculer entre un tableau de bord de triage, une chasse aux menaces, un dossier et l'outil d'IA qui vous a dit de chercher en premier lieu.
Récemment, nous avons introduit MCP Apps pour Elastic, construit sur l'extension ouverte MCP Apps du Model Context Protocol, qui permet à un outil MCP de renvoyer une interface utilisateur interactive avec sa réponse textuelle, rendue en ligne dans Claude Desktop, Claude.ai, VS Code Copilot, Cursor, ou tout autre hôte compatible. Nous allons passer en revue six tableaux de bord interactifs couvrant la boucle principale du SOC, du triage des alertes à la clôture du dossier, sans quitter la conversation.
Elastic fournit déjà des agents d'intelligence artificielle au sein de la plateforme : Attack Discovery et Agent Builder fonctionnent nativement avec vos données de sécurité dans Kibana. Mais les analystes et les ingénieurs en sécurité passent également du temps dans Claude, VS Code et Cursor, à écrire des logiques de détection, à rechercher des menaces et, de plus en plus, à trier les résultats. La question n'est pas de savoir s'il faut utiliser l'IA intégrée d'Elastic ou des outils externes. Il s'agit de savoir si les outils externes peuvent vous offrir le même flux de travail interactif et visuel que celui obtenu dans Kibana. C'est ce que l'application MCP Sécurité résout.
Les opérations de sécurité sont par nature visuelles et interactives. Un analyste analyse les alertes regroupées par hôte, développe une arborescence de processus, trace une chaîne parent-enfant et fait glisser une entité suspecte sur un graphique d'investigation. Cette boucle ne survit pas à la compression en texte. L'application MCP Elastic Security intègre ces surfaces dans la conversation sur l'IA, de sorte que la réponse est le flux de travail, et non un résumé de celui-ci.
Pourquoi l'application Elastic Security MCP App est-elle importante pour le SOC ?
Lorsqu'un agent dit à un analyste SOC, "Il y a 47 alertes sur l'hôte-314, voici un résumé," il n'a rien fait. Il s'agit simplement d'indiquer où commence le travail. Le travail réel se trouve dans la liste des alertes, l'arbre de processus, le graphique d'enquête et le dossier. Vous ne pouvez pas le faire à partir d'un paragraphe de texte.
L'application MCP sécurité renvoie le flux de travail lui-même. L'analyste interroge l'agent, qui lui renvoie un tableau de bord interactif dans le chat où l'analyste peut consulter les alertes, lancer des chasses aux menaces, corréler les chaînes d'attaque et ouvrir des dossiers, sans perdre le fil de la conversation. Tout ce que vous faites dans l'application MCP est écrit dans Elasticsearch et Kibana par le biais des mêmes API que celles utilisées par le produit. Qu'il s'agisse de cas, d'alertes, de conclusions ou de requêtes de chasse, vous ne perdez rien de ce contexte, car il n'est pas seulement présent dans le chat, mais il est également stocké dans votre cluster Elastic et vos environnements Kibana, en attendant d'être récupéré lorsque vous êtes prêt.
Six tableaux de bord interactifs
Nous avons choisi six éléments qui correspondent à la boucle principale du SOC : détecter, trier, chasser, corréler, répondre et tester. Chacune d'entre elles est une interface utilisateur React qui s'affiche en ligne lorsque l'agent appelle l'outil correspondant :
| Outil | What it does | Interface utilisateur interactive |
|---|---|---|
| Tri des alertes | Récupérer, filtrer et classer les alertes de sécurité | Regroupement par gravité, cartes de verdict de l'IA, arbre de processus et événements de réseau |
| Attack Discovery | Analyse de chaîne d'attaque corrélée par IA avec génération à la demande | Cartes narratives d'attaques avec notation de la confiance, risque d'entité et cartographie MITRE |
| Gestion des incidents | Créer, rechercher et gérer des cas d'enquête | Liste de cas avec alertes, observables, onglets de commentaires et actions d'IA |
| Règles de détection | Parcourez, ajustez et gérez les règles de détection | Navigateur de règles avec recherche KQL, validation des requêtes et analyse des règles bruyantes |
| Chasse aux menaces | ES|QL workbench with entity investigation | Query editor, clickable entities, and investigation graph |
| Exemple de données | Générer des événements de sécurité ECS pour des scénarios d’attaque courants | Sélecteur de scénarios avec quatre chaînes d’attaque prêtes à l’emploi |
Chaque outil renvoie un résumé textuel compact sur lequel le modèle peut raisonner, ainsi que l'interface utilisateur interactive sur laquelle l'analyste agit. L'interface utilisateur peut également récupérer des données fraîches en coulisses par l'intermédiaire du pont hôte MCP. Le modèle complet de l'outil et l'API de la passerelle se trouvent dans la documentation sur l'architecture du repo.
L'application est également livrée avec les compétences de Claude Desktop, des fichiers SKILL.md qui enseignent à l'agent quand et comment utiliser chaque outil. Vous pouvez télécharger les zips de compétences pré-construites à partir de la dernière version.
De l’alerte au cas
Les cinq compétences couvrent la boucle de base du SOC. Chacun d'entre eux saisit une invite, appelle un outil et renvoie un tableau de bord interactif accompagné d'un résumé textuel sur lequel le modèle raisonne. La procédure ci-dessous part de zéro ; si vous suivez la procédure, la première étape consiste à remplir le cluster afin que le reste de la boucle dispose de données avec lesquelles travailler.
Générer des échantillons de données. Vous démarrez avec un nouveau cluster ? La compétence Sample Data génère des événements de sécurité ECS réalistes pour quatre scénarios d'attaque courants : ransomware, mouvement latéral, vol d'informations d'identification et exfiltration de données. Demandez à l'agent de générer des échantillons de données, choisissez un scénario et, en quelques secondes, vous disposez d'une file d'attente d'alertes bien remplie. Tout ce qui suit dans ce guide utilise ces événements.
Alertes de triage. Demandez à l'agent d'effectuer un tri par hôte, règle, utilisateur ou fenêtre temporelle. La compétence Triage des alertes renvoie un tableau de bord des verdicts de l'IA au-dessus de la liste brute des alertes, avec un verdict par règle de détection classant l'activité de cette règle comme bénigne, suspecte ou malveillante, chacun avec une note de confiance et une action recommandée. Cliquez sur n'importe quelle alerte pour ouvrir une vue détaillée avec une arborescence de processus, des événements de réseau, des alertes liées et des étiquettes MITRE ATT&CK. Pas de passage d'un onglet à l'autre entre votre outil d'IA et le tableau de bord des alertes dans Kibana ; tout se passe en temps réel dans la conversation.
Chassez les menaces. Demandez à l'agent de rechercher vos indices. La compétence Chasse à la menace renvoie un outil de travail ES|QL avec la requête pré-remplie et exécutée automatiquement, avec chaque entité dans les résultats cliquable pour l'exploration. Le modèle écrit une brève lecture sous le tableau : ce qui est inhabituel, ce qui est connecté et ce qui vaut la peine d'être examiné de plus près. Il propose ensuite le pivot suivant : approfondir la chasse aux menaces ou passer le relais à une autre compétence. La découverte d'attaques est l'étape suivante naturelle ; elle rassemble plus de contexte sur les alertes que vous avez triées et les menaces que vous avez chassées, en les corrélant dans des chaînes d'attaques.
Découverte de l'attaque de la course. La compétence Attack Discovery déclenche l'API Attack Discovery et renvoie une liste classée des résultats. Chaque constatation est un ensemble d'alertes connexes regroupées en une chaîne d'attaque, avec les tactiques de MITRE, un score de risque, un label de confiance, ainsi que les hôtes et les utilisateurs concernés. Le résumé de l'agent est placé sous les résultats dans le même ordre, et la conversation contient maintenant tout ce qu'il faut pour agir : requêtes de chasse, décisions de triage, chaînes corrélées, le tout mis en scène pour l'étape suivante.
Ouvrez des dossiers sans quitter le chat. Approuvez les conclusions en bloc ou demandez à l'agent d'ouvrir des dossiers pour des alertes spécifiques. La compétence Gestion des cas crée un cas par constatation approuvée (alertes de source jointes et tactiques MITRE héritées de la chaîne d'attaque) et affiche la liste des cas en ligne. Cliquez sur un dossier pour obtenir sa vue détaillée, qui comprend une rangée de boutons d'action AI : Résumer le cas, Suggérer les prochaines étapes, Extraire les CIO et Générer un calendrier. Chacune d'entre elles renvoie une invite structurée dans le chat, de sorte que l'agent reprend le contexte de l'affaire sans avoir besoin de se présenter à nouveau. Le résumé de l'agent se trouve sous la liste des dossiers et couvre l'ensemble de la file d'attente des RI, y compris les dossiers qui viennent d'être ouverts et les conclusions antérieures qui doivent encore l'être.
Chaque étape de ce parcours se déroule selon la même boucle : une invite arrive, la compétence la saisit et l'outil renvoie un résumé textuel compact pour que le modèle puisse raisonner, ainsi qu'une interface utilisateur interactive sur laquelle l'analyste agit. Enchaînez les compétences et vous obtiendrez un flux SOC de bout en bout : chasse, triage, corrélation, ouverture de dossiers et pilotage du pivot suivant, le tout avec le modèle qui transmet le contexte de la session à chaque étape. Si vous invoquez l'un d'entre eux séparément, il s'agit toujours du tableau de bord complet, orienté vers n'importe quelle partie de vos données que vous nommez. Quoi qu'il en soit, le travail s'accumule dans la conversation ; pas de changement d'onglet, pas de copier-coller, pas de transfert.
Une autre compétence complète l'application : un navigateur de règles de détection qui permet d'ajuster les règles bruyantes, de filtrer par type de règle et de signaler les détections très bruyantes. Un article ultérieur approfondira les six tableaux de bord : graphique d'investigation, canevas de flux d'attaque et parcours de bout en bout.
Voici la présentation complète de cette démo.
Comment l'équipe InfoSec d'Elastic utilise l'application Security MCP App
La valeur de l'application MCP s'accroît lorsque la conversation n'a pas seulement accès à Elastic Security. Dans un véritable flux de travail SOC, une seule alerte conduit souvent à des questions qui couvrent plusieurs systèmes : des cas dans Kibana, des fils de discussion dans Slack, des problèmes dans Jira et des journaux d'infrastructure cloud. Traditionnellement, un analyste devait passer manuellement de l'un à l'autre de ces outils, en assemblant le contexte un onglet à la fois.
Avec l'application Security MCP App connectée aux serveurs MCP pour Slack, Jira et les plateformes cloud, l'agent peut obtenir une vue d'ensemble en une seule conversation : examiner un cas et ses alertes jointes, croiser les canaux Slack pour les pannes connexes ou les changements planifiés, vérifier Jira pour les problèmes connus et compiler un résumé médico-légal couvrant la cause première, les actions déjà entreprises et les tâches en suspens, le tout avant que l'analyste n'écrive une seule note. Une fois l'analyse examinée et approuvée, l'agent rédige les conclusions : un commentaire structuré sur le cas Kibana, un résumé posté sur le canal Slack concerné et des alertes fermées avec le contexte joint.
Il en va de même pour les alertes basées sur l'informatique en nuage. Une activité étrange dans un environnement en nuage s'avère souvent être une panne connue ou un changement d'infrastructure déjà en cours de discussion dans Slack ou Jira. L'agent peut vérifier ces sources en quelques secondes, corréler le contexte et soit clôturer l'alerte avec une explication, soit l'escalader avec l'image complète déjà jointe.
L'application MCP pour Elastic Security comble le fossé entre la détection automatisée et la chasse manuelle. En rassemblant nos données de sécurité directement dans une interface unique au sein de Claude Desktop, nous avons mis en évidence des menaces "silencieuses" en moins d'une heure - des risques qui n'ont pas déclenché d'alertes standard mais qui nécessitaient une action immédiate. C'est un multiplicateur de force pour nos analystes. - Mandy Andress, responsable de la sécurité des informations (CISO), Elastic
Fonctionnement
Chaque application MCP est un petit serveur Node.js dont les outils renvoient à la fois un résumé textuel compact du modèle et une interface utilisateur React que l'hôte rend en ligne. Le serveur expose deux couches : les outils orientés modèle que le LLM appelle (renvoyant des résumés légers pour le raisonnement), et les outils réservés à l'application que l'interface utilisateur appelle dans les coulisses pour l'interactivité, comme l'expansion des arbres de processus ou l'exécution de requêtes ES|QL. Chaque vue est une application React autonome rendue dans une iframe en bac à sable. Parce qu'il est construit sur la spécification ouverte MCP App, le même serveur fonctionne sur n'importe quel hôte compatible ; voir la documentation sur l'architecture du repo pour la conception complète.
Le SOC agentique, interactif
Deux caractéristiques de ce modèle méritent d'être mentionnées directement. Tout d'abord, le résultat de l'outil n'est plus la fin du travail, il en est le début : la conversation renvoie une interface sur laquelle vous pouvez agir, et non un résumé à partir duquel vous devez agir. Deuxièmement, cela ne fonctionne que parce qu'Elasticsearch et Kibana exposent déjà les API de sécurité. L'application MCP est une fine couche interactive qui s'ajoute aux capacités de détection, d'enquête et de gestion des cas déjà fournies par Elastic Security.
Attack Discovery alimente déjà l'affichage des résultats corrélés dans cette application. À l'intérieur de la pile, le même modèle agentique va plus loin : Les flux de travail élastiques automatisent les étapes déterministes (enrichir les entités, créer des cas et isoler les hôtes), tandis que l'Agent Builder raisonne sur les données et invoque ces flux de travail en tant qu'outils. L'application MCP apporte cette même surface de sécurité dans la conversation externe ; les flux de travail et l'Agent Builder l'approfondissent à l'intérieur de la pile. Points d'entrée différents, mêmes API de sécurité élastiques.
Ce choix architectural est délibéré. Le serveur MCP fonctionne sur la machine de l'analyste et se connecte directement à Elasticsearch à l'aide de sa clé API. Le LLM ne reçoit que des résumés compacts pour le raisonnement, tandis que l'interface utilisateur charge indépendamment les données complètes de l'enquête via le même serveur. Il ajoute une surface pour les analystes qui travaillent déjà dans Claude, VS Code ou Cursor sans introduire une dépendance qu'ils doivent adopter ou un modèle de gouvernance qu'ils doivent reconstruire. Les mêmes contrôles d'accès basés sur les rôles que vous appliquez par le biais de vos clés API Elasticsearch s'appliquent à chaque action de l'application, ce qui signifie que le résultat opérationnel est simple : les analystes passent moins de temps à changer d'outil et plus de temps à clore les dossiers.
Essayez l'application Elastic Security MCP
L'application Elastic Security MCP App nécessite Elasticsearch 9.x avec la sécurité activée, ainsi que Kibana pour les cas, les règles et la découverte d'attaques. Le chemin le plus rapide est le bundle .mcpb en un clic de la dernière version; double-cliquez sur le bundle dans Claude Desktop, et vous serez invité à fournir votre URL Elasticsearch et votre clé API. Les guides d'installation pour Cursor, VS Code, Claude Code, Claude.ai, et la construction à partir des sources sont dans le repo.
Vous n'avez pas encore de cluster Elasticsearch ? Commencez un essai gratuit d'Elastic Cloud. Pour en savoir plus sur les éléments constitutifs de l'application, consultez les articles connexes de Security Labs sur les flux de travail élastiques et la création d'agents, les compétences des agents et la découverte d'attaques.
La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.