Jamie HyndsMia LaVada

Da chave de API à detecção de ameaças em tempo real em minutos: como a Elastic Security utiliza o Google Threat Intelligence.

Descubra como o Elastic Security integra o Google Threat Intelligence para detecção contínua e usa fluxos de trabalho orientados por IA para enriquecer alertas em tempo real, desde a chave da API até detecções ao vivo em minutos.

O Elastic Security ingere nativamente o Google Threat Intelligence: IPs, domínios, URLs e hashes de arquivos maliciosos conhecidos são comparados com sua telemetria no momento em que aparecem, cada um contendo um veredicto e uma pontuação de ameaça de 0 a 100. A configuração consiste em uma chave de API e dois fluxos de dados, sem necessidade de infraestrutura adicional. Quando um indicador é ambíguo, os fluxos de trabalho criados no Agent Builder consultam o VirusTotal em tempo real, enriquecem o alerta, correlacionam com sua telemetria e resumem as descobertas em tempo real.

Como funciona a inteligência de ameaças no Elastic Security

Nas operações de segurança modernas, a inteligência de ameaças deve funcionar em todas as fases, desde a detecção e investigação até a resposta, e não ficar restrita a uma tabela de referência.

O Elastic Security oferece suporte a isso de duas maneiras. A inteligência absorvida por meio de integrações impulsiona a detecção contínua e a busca histórica. Os fluxos de trabalho agentivos, construídos sobre o Elastic Workflows e o Agent Builder, fornecem enriquecimento sob demanda e raciocínio investigativo durante uma investigação ativa. Este artigo aborda como a integração do Google Threat Intelligence (GTI) da Elastic potencializa a detecção e a busca baseadas na ingestão de informações e como ela se encaixa em um modelo de SOC mais amplo e dinâmico, no qual fluxos de trabalho orientados por IA utilizam essa inteligência no momento do alerta.

O que o Google Threat Intelligence oferece

A integração do Google Threat Intelligence traz informações selecionadas sobre ameaças diretamente para o Elastic Security, tornando-as acionáveis em todas as etapas de detecção e investigação. O GTI combina a inteligência da visibilidade de segurança global do Google com os dados do VirusTotal para fornecer um contexto mais completo sobre indicadores de comprometimento, abrangendo malware, ransomware, phishing, roubo de informações, infraestrutura maliciosa, agentes de ameaças e outras atividades adversárias.

Cada indicador retorna: um veredicto (Malicioso, Suspeito ou Não Detectado), uma gravidade e uma pontuação de ameaça composta de 0 a 100. Como essa pontuação é derivada de múltiplos sinais, as equipes de segurança podem priorizar os indicadores com base na confiabilidade, e não apenas na sua presença.

Como funciona a integração do Google Threat Intelligence no Elastic Security

A instalação leva apenas alguns minutos. Você fornece sua chave de API GTI na integração com o Elasticsearch, e a ingestão começa em um intervalo de pesquisa agendado, sem necessidade de infraestrutura ou coletores adicionais. A integração ingere dois fluxos de dados principais.

ObjetivoLista de AmeaçasTransmissão do COI
ObjetivoDetecção de alta confiançaIdentificação de ameaças + visibilidade antecipada
VolumeSelecionado, volume menorMais amplo, de maior volume
Melhor paraAlerta de precisão críticaAtividade emergente e exploratória

À medida que os dados são ingeridos, os indicadores são padronizados usando o Elastic Common Schema (ECS), juntamente com o contexto do GTI, como veredicto, gravidade, pontuação, famílias de malware, associações com agentes de ameaças e metadados da campanha (quando disponíveis). Isso permite que o GTI seja pesquisado e correlacionado de forma consistente com outras fontes de inteligência compatíveis com o ECS (incluindo feeds TAXII), inteligência personalizada e a telemetria de segurança mais ampla já presente no Elastic Security. A Elastic também gerencia automaticamente o ciclo de vida dos indicadores, incluindo expiração e revogação, o que reduz as correspondências com informações desatualizadas. Uma vez incorporados, os indicadores GTI passam a fazer parte do mesmo conjunto de dados pesquisável que os logs, endpoints e telemetria em nuvem, permitindo uma correlação unificada em todo o ambiente.

Utilizando o Google Threat Intelligence para detecção de correspondência de indicadores.

As regras de correspondência de indicadores da Elastic usam dados do GTI para detectar quando IPs, domínios, URLs ou hashes de arquivos maliciosos conhecidos aparecem na telemetria de segurança, correlacionando continuamente informações com a atividade observada e apresentando correspondências para investigação. Como o GTI fornece campos estruturados, como pontuação, veredicto e gravidade, as equipes podem ajustar as detecções por nível de confiança: indicadores de alta confiança podem acionar o escalonamento imediato, enquanto indicadores de baixa confiança podem ser encaminhados para revisão ou validação adicional.

Busca de ameaças com indicadores GTI no Elastic Security

Com os metadados do GTI, os analistas podem alternar entre um único indicador de comprometimento (IOC) e toda a infraestrutura associada, pesquisando telemetria histórica; não apenas verificando se um indicador apareceu, mas entendendo a qual campanha ele pertence.

O GTI enriquece os indicadores com metadados, como associações com agentes de ameaças e contexto de famílias de malware, permitindo que os analistas avancem além das buscas por IOCs individuais. Os analistas podem alternar entre um adversário ou campanha específica e todos os indicadores associados (IPs, domínios e hashes de arquivos) e pesquisar em dados históricos de telemetria usando ES|QL. Isso facilita determinar se alguma infraestrutura maliciosa conhecida interagiu com o ambiente.

Monitoramento da atividade de inteligência de ameaças com painéis do GTI

A integração inclui painéis pré-configurados que fornecem visibilidade da atividade de inteligência de ameaças e das detecções realizadas pela GTI. Utilizando pesquisas salvas e métricas agregadas, esses painéis resumem as ameaças observadas em famílias de malware, campanhas, agentes de ameaças, kits de ferramentas e vulnerabilidades, ajudando as equipes de SOC a entender quais tipos de ameaças estão mais ativos em seu ambiente e como a inteligência está sendo operacionalizada.

Categorias e cobertura do feed de Inteligência de Ameaças do Google

A GTI inclui 14 categorias de feeds categorizadas, para que as organizações possam adaptar a cobertura às suas necessidades e nível de assinatura. As categorias suportadas incluem:

  • Criptomineradores
  • Ameaças em alta
  • Vetores iniciais de acesso e distribuição
  • Ladrões de informações
  • ameaças da IoT
  • Malware Linux
  • Infraestrutura maliciosa
  • Malware geral
  • Ameaças móveis
  • ameaças do macOS
  • Phishing
  • Ransomware
  • Agentes de ameaça
  • Exploração de vulnerabilidades e instrumentalização

A disponibilidade depende do seu plano de assinatura do Google Threat Intelligence, e feeds adicionais podem ser ativados sem alterações na configuração do Elastic.

Enriquecimento de agentes e triagem em tempo real com Elastic Workflows

Para indicadores ambíguos ou emergentes que ainda não estejam em um feed indexado, o Elastic Security oferece suporte à investigação orientada por IA por meio do Agent Builder e do Elastic Workflows, que complementam a ingestão de informações, permitindo o enriquecimento e o raciocínio em tempo real durante uma investigação.

Com os fluxos de trabalho, um analista não fica mais limitado às informações já presentes no índice. Durante a triagem de alertas, um fluxo de trabalho pode consultar serviços externos de inteligência e reputação, como o VirusTotal, em tempo real, enriquecer um alerta com novo contexto sobre os IPs, domínios ou hashes de arquivos envolvidos, correlacionar essa inteligência em tempo real com a telemetria da Elastic e resumir as descobertas em um contexto de investigação estruturado para que o analista possa agir. O Agent Builder amplia ainda mais essa funcionalidade: as equipes podem compor recursos reutilizáveis e específicos para cada tarefa, como habilidades de agente para triagem de alertas, enriquecimento ou gerenciamento de casos, permitindo que o assistente execute tarefas investigativas de várias etapas com a consistência da automação tradicional, por meio de uma interface de linguagem natural.

Isso introduz um modelo complementar. A inteligência ingerida (GTI, TAXII e feeds personalizados) fornece detecção contínua e busca histórica com base nos indicadores que você já possui. Os fluxos de trabalho agentivos fornecem enriquecimento sob demanda e raciocínio investigativo em tempo real, acessando fontes em tempo real e reunindo contexto instantaneamente. Em conjunto, permitem que as equipes detectem ameaças conhecidas em grande escala e forneçam contexto às investigações.

Primeiros passos com o Google Threat Intelligence no Elastic Security

Para usar a integração do Google Threat Intelligence no Elastic Security, você precisa de uma licença GTI ativa e uma chave de API.

  1. Instalação: abra o catálogo de integrações no Kibana → pesquise "Google Threat Intelligence" → adicione a integração → insira sua chave de API.
  2. Configure os fluxos de dados: habilite a Lista de Ameaças (detecções de alta confiança) e o Fluxo de Indicadores de Comprometimento (cobertura de busca) → defina a frequência de consulta para corresponder aos limites da API e às necessidades operacionais.
  3. Ajuste: as regras de correspondência de indicadores predefinidas são ativadas automaticamente; se o volume de alertas for alto, comece filtrando por limite de confiança.

Todos os indicadores são armazenados no Elasticsearch e acessíveis através da visualização de dados de inteligência de ameaças do GTI, permitindo pesquisa, correlação e lógica de detecção personalizada. Informações completas sobre a configuração e orientações para resolução de problemas estão disponíveis na documentação oficial.

Unindo tudo

A inteligência sobre ameaças só importa se uma equipe puder agir com base nela. Ao integrar o Google Threat Intelligence ao Elastic Security, as equipes de SOC obtêm detecção baseada em ingestão, executada continuamente em seus dados de telemetria, e raciocínio investigativo orientado por agentes sobre essas informações em tempo real. Essa combinação permite que a inteligência de ameaças opere de forma contínua e contextual, ajudando os analistas a passar de indicadores a decisões confiantes mais rapidamente.

Compartilhe este artigo