Todo analista de SOC conhece o procedimento: um alerta é acionado e os próximos dez minutos são gastos alternando entre um painel de triagem, uma busca por ameaças, um arquivo de caso e a ferramenta de IA que indicou a necessidade da verificação.
Recentemente, lançamos o MCP Apps para Elastic, baseado na extensão aberta MCP Apps do Model Context Protocol, que permite que uma ferramenta MCP retorne uma interface de usuário interativa juntamente com sua resposta de texto, renderizada diretamente no Claude Desktop, Claude.ai. VS Code Copilot, Cursor ou qualquer host compatível. Esta publicação explora em detalhes o aplicativo Elastic Security MCP. Analisaremos seis painéis interativos que abrangem o ciclo principal do SOC, desde a triagem de alertas até o fechamento de casos, sem interromper a conversa.
A Elastic já inclui agentes de IA na plataforma: o Attack Discovery e o Agent Builder funcionam nativamente com seus dados de segurança no Kibana. Mas analistas e engenheiros de segurança também passam tempo no Claude, VS Code e Cursor, escrevendo lógica de detecção, pesquisando ameaças e, cada vez mais, priorizando as descobertas. A questão não é se devemos usar a IA integrada da Elastic ou ferramentas externas. A questão é se as ferramentas externas conseguem oferecer o mesmo fluxo de trabalho interativo e visual que você obtém no Kibana. É isso que o aplicativo Security MCP resolve.
As operações de segurança são inerentemente visuais e interativas. Um analista examina alertas agrupados por host, expande uma árvore de processos, rastreia uma cadeia pai-filho e arrasta uma entidade suspeita para um gráfico de investigação. Esse loop não sobrevive à compressão em texto. O aplicativo Elastic Security MCP integra essas superfícies à conversa sobre IA, portanto, a resposta é o fluxo de trabalho, não um resumo dele.
Por que o aplicativo Elastic Security MCP é importante para o SOC?
Quando um agente diz a um analista do SOC: "Há 47 alertas no host-314, aqui está um resumo", ele não fez nenhum trabalho. Está apenas apontando para onde o trabalho começa. O trabalho em si reside na lista de alertas, na árvore de processos, no gráfico de investigação e no arquivo do caso. Não é possível fazer isso a partir de um parágrafo de texto.
O aplicativo MCP de segurança retorna o próprio fluxo de trabalho. O analista solicita informações ao agente, e o agente retorna um painel interativo no chat, onde o analista pode explorar alertas, executar buscas por ameaças, correlacionar cadeias de ataque e abrir chamados, sem perder o fio da conversa. Tudo o que você faz no aplicativo MCP é gravado no Elasticsearch e no Kibana por meio das mesmas APIs que o produto utiliza. Desde casos, alertas e descobertas até consultas de pesquisa, você não perde nenhum desses contextos, pois eles não ficam restritos ao chat, mas são armazenados em seu cluster Elastic e ambientes Kibana, prontos para serem acessados quando você precisar.
Seis dashboards interativos
Selecionamos seis elementos que se relacionam ao ciclo central do SOC: detectar, triar, buscar, correlacionar, responder e testar. Cada uma delas é uma interface de usuário React que é renderizada diretamente na página quando o agente chama a ferramenta correspondente:
| Ferramenta | What it does | UI interativa |
|---|---|---|
| Triagem de alertas | Busque, filtre e classifique alertas de segurança | Agrupamento por gravidade, cartões de veredicto de IA, árvore de processos e eventos de rede. |
| Descoberta de ataque | Análise de cadeia de ataque correlacionada com IA e geração sob demanda | Cartas narrativas de ataque com pontuação de confiança, risco da entidade e mapeamento MITRE. |
| Gerenciamento de casos | Crie, busque e gerencie casos de investigação | Lista de casos com alertas, indicadores, abas de comentários e ações de IA. |
| Regras de detecção | Navegue, ajuste e gerencie regras de detecção | Navegador de regras com pesquisa KQL, validação de consultas e análise de regras ruidosas. |
| Caça a ameaças | ES | QL Workbench com investigação de entidades |
| Dados de amostra | Gerar eventos de segurança do ECS para cenários de ataque comuns | Seletor de cenários com quatro cadeias de ataque predefinidas |
Cada ferramenta retorna um resumo textual compacto que o modelo pode analisar, juntamente com a interface de usuário interativa sobre a qual o analista age. A interface do usuário também pode buscar dados atualizados em segundo plano por meio da ponte de host MCP. O modelo completo da ferramenta e a API de ponte estão disponíveis no documento de arquitetura do repositório.
O aplicativo também é fornecido com habilidades do Claude Desktop, SKILL.md arquivos que ensinam ao agente quando e como usar cada ferramenta. Você pode baixar os arquivos zip de habilidades pré-compiladas da versão mais recente.
Do alerta ao caso
As cinco habilidades abrangem o ciclo SOC principal. Cada um deles recebe um comando, chama uma ferramenta e retorna um painel interativo juntamente com um resumo em texto que o modelo analisa. O passo a passo abaixo começa do zero; se você estiver acompanhando, a primeira etapa preenche o cluster para que o restante do loop tenha dados com os quais trabalhar.
Gere dados de amostra. Começando com um cluster novo? A habilidade Sample Data gera eventos de segurança ECS realistas para quatro cenários de ataque comuns: ransomware, movimentação lateral, roubo de credenciais e exfiltração de dados. Peça ao agente para gerar dados de amostra, escolha um cenário e, em segundos, você terá uma fila de alertas preenchida para trabalhar. Tudo o que se segue neste passo a passo utiliza esses eventos.
Alertas de triagem. Peça ao agente para priorizar por host, regra, usuário ou intervalo de tempo. A funcionalidade de Triagem de Alertas retorna um painel com veredictos de IA acima da lista de alertas brutos, com um veredicto para cada regra de detecção, classificando a atividade dessa regra como benigna, suspeita ou maliciosa, cada um com uma pontuação de confiança e uma ação recomendada. Clique em qualquer alerta para abrir uma visualização detalhada com uma árvore de processos, eventos de rede, alertas relacionados e tags MITRE ATT&CK. Sem necessidade de alternar entre abas na sua ferramenta de IA e no painel de alertas dentro do Kibana; tudo acontece em tempo real dentro da conversa.
Identificar ameaças. Peça ao agente para pesquisar em seus índices. A habilidade Caça a Ameaças retorna uma área de trabalho ES|QL com a consulta pré-preenchida e executada automaticamente, sendo possível clicar em cada entidade dos resultados para explorar os detalhes. O modelo exibe um breve resumo abaixo da tabela: o que é incomum, o que está conectado e o que merece uma análise mais detalhada. Em seguida, oferece a próxima opção: aprofundar a busca por ameaças ou delegar a tarefa a outra habilidade. A Descoberta de Ataques é o próximo passo natural; ela reúne mais contexto sobre os alertas que você triou e as ameaças que você investigou, correlacionando-os em cadeias de ataque.
Executar descoberta de ataques. A habilidade de Descoberta de Ataques aciona a API de Descoberta de Ataques e retorna uma lista classificada de resultados. Cada descoberta é um conjunto de alertas relacionados, interligados em uma cadeia de ataque, com táticas MITRE, uma pontuação de risco, um nível de confiança e os hosts e usuários afetados exibidos de forma clara. O resumo do agente aparece abaixo das descobertas na mesma ordem de classificação, e a conversa agora contém tudo o que é necessário para agir: consultas de busca, decisões de triagem, cadeias correlacionadas, tudo preparado para a próxima etapa.
Abra chamados sem sair do chat. Aprovar resultados em lote ou solicitar ao agente que abra casos para alertas específicos. A funcionalidade de Gerenciamento de Casos cria um caso para cada descoberta aprovada (com alertas de origem anexados e táticas MITRE herdadas da cadeia de ataque) e exibe a lista de casos ativos diretamente no aplicativo. Clique em um caso para ver os detalhes, que incluem uma linha de botões de ação de IA: Resumir caso, Sugerir próximos passos, Extrair indicadores de comprometimento (IOCs) e Gerar linha do tempo. Cada um deles insere uma mensagem estruturada de volta no chat, para que o agente compreenda o contexto do caso sem precisar de uma nova apresentação. O resumo do agente fica abaixo da lista de casos e abrange toda a fila de investigação, incluindo os casos recém-abertos e as constatações anteriores que ainda precisam de uma análise.
Cada etapa deste passo a passo segue o mesmo ciclo: uma solicitação é recebida, a ferramenta a processa e retorna um resumo textual conciso para o modelo analisar, juntamente com uma interface de usuário interativa na qual o analista interage. Ao combinar as habilidades, elas se integram em um fluxo SOC completo: busca, triagem, correlação, abertura de casos e direcionamento para a próxima etapa, tudo com o modelo carregando o contexto da sessão em cada fase. Invoque qualquer uma delas individualmente, e ainda assim será o painel de controle completo, direcionado para qualquer parte dos seus dados que você especificar. De qualquer forma, o trabalho se acumula dentro da conversa; sem troca de abas, sem copiar e colar, sem transferência de informações.
Mais uma funcionalidade completa o aplicativo: um navegador de regras de detecção para ajustar regras ruidosas, filtrar por tipo de regra e sinalizar detecções com alto nível de ruído. Uma publicação subsequente abordará detalhadamente todos os seis painéis: gráfico de investigação, diagrama de fluxo de ataque e análise completa de ponta a ponta.
Aqui está o passo a passo completo desta demonstração.
Como a equipe de segurança da informação da Elastic usa o aplicativo Security MCP
O valor do aplicativo MCP aumenta quando a conversa tem acesso a mais do que apenas o Elastic Security. Em um fluxo de trabalho SOC real, um único alerta geralmente leva a perguntas que abrangem vários sistemas: casos no Kibana, conversas no Slack, problemas no Jira e logs de infraestrutura em nuvem. Tradicionalmente, um analista alternava manualmente entre essas ferramentas, reunindo o contexto uma aba de cada vez.
Com o aplicativo Security MCP conectado aos servidores MCP para Slack, Jira e plataformas em nuvem, o agente pode ter uma visão completa em uma única conversa: revisar um caso e seus alertas anexados, comparar canais do Slack para identificar interrupções ou alterações planejadas relacionadas, verificar o Jira em busca de problemas conhecidos e compilar um resumo forense abrangendo a causa raiz, as ações já tomadas e as tarefas pendentes, tudo isso antes mesmo de o analista escrever uma única anotação. Após a análise ser revisada e aprovada, o agente envia as conclusões por escrito: um comentário estruturado no caso do Kibana, um resumo publicado no canal relevante do Slack e alertas encerrados com o contexto anexado.
Os alertas baseados na nuvem oferecem os mesmos benefícios. Atividades estranhas em um ambiente de nuvem geralmente se revelam como uma interrupção conhecida ou uma mudança de infraestrutura já em discussão no Slack ou no Jira. O agente pode verificar essas fontes em segundos, correlacionar o contexto e encerrar o alerta com uma explicação ou encaminhá-lo para níveis superiores, já com o quadro completo anexado.
O aplicativo MCP para Elastic Security preenche a lacuna entre a detecção automatizada e a busca manual. Ao trazer nossos dados de segurança diretamente para uma única interface no Claude Desktop, identificamos ameaças "silenciosas" em menos de uma hora — riscos que não disparavam alertas padrão, mas exigiam ação imediata. É um fator multiplicador de forças para nossos analistas. — Mandy Andress, Diretora de Segurança da Informação (CISO), Elastic
Como funciona
Cada aplicativo MCP é um pequeno servidor Node.js cujas ferramentas retornam um resumo de texto compacto para o modelo e uma interface de usuário React que o host renderiza diretamente no aplicativo. O servidor expõe duas camadas: ferramentas voltadas para o modelo, que o LLM chama (retornando resumos leves para raciocínio), e ferramentas exclusivas do aplicativo, que a interface do usuário chama em segundo plano para interatividade, como expandir árvores de processos ou executar consultas ES|QL. Cada visualização é um aplicativo React independente renderizado em um iframe isolado (sandbox). Por ser baseado na especificação aberta do aplicativo MCP, o mesmo servidor funciona em qualquer host compatível; consulte o documento de arquitetura do repositório para obter o design completo.
O SOC agente, interativo
Duas propriedades desse padrão merecem ser mencionadas diretamente. Em primeiro lugar, o resultado da ferramenta não é mais o fim do trabalho; é o começo: a conversa retorna uma interface sobre a qual você pode agir, não um resumo a partir do qual você precisa agir. Em segundo lugar, isso só funciona porque o Elasticsearch e o Kibana já expõem as APIs de segurança. O aplicativo MCP é uma camada interativa simples que se sobrepõe aos recursos de detecção, investigação e gerenciamento de casos já oferecidos pela Elastic Security.
O recurso Attack Discovery já alimenta a visualização de resultados correlacionados dentro deste aplicativo. Dentro da pilha, o mesmo padrão agentivo vai além: os Fluxos de Trabalho Elásticos automatizam as etapas determinísticas (enriquecer entidades, criar casos e isolar hosts), enquanto o Construtor de Agentes raciocina sobre os dados e invoca esses fluxos de trabalho como ferramentas. O aplicativo MCP traz essa mesma superfície de segurança para a conversa externa; os fluxos de trabalho e o construtor de agentes aprofundam essa segurança dentro da infraestrutura. Pontos de entrada diferentes, mas com as mesmas APIs do Elastic Security por baixo.
Essa escolha arquitetônica é deliberada. O servidor MCP é executado na máquina do próprio analista e se conecta diretamente ao Elasticsearch usando sua chave de API. O LLM recebe apenas resumos compactos para análise, enquanto a interface do usuário carrega, de forma independente, os dados completos da investigação por meio do mesmo servidor. Isso adiciona uma interface para analistas que já trabalham com Claude, VS Code ou Cursor, sem introduzir uma dependência que eles precisem adotar ou um modelo de governança que precisem reconstruir. Os mesmos controles de acesso baseados em funções que você aplica por meio de suas chaves de API do Elasticsearch se aplicam a todas as ações realizadas pelo aplicativo, o que significa que o resultado operacional é simples: os analistas gastam menos tempo alternando entre ferramentas e mais tempo concluindo casos.
Experimente o aplicativo Elastic Security MCP.
O aplicativo Elastic Security MCP requer o Elasticsearch 9.x com a segurança habilitada, além do Kibana para casos, regras e descoberta de ataques. O caminho mais rápido é o pacote .mcpb de um clique da versão mais recente; clique duas vezes nele no Claude Desktop e você será solicitado a inserir seu URL do Elasticsearch e sua chave de API. Os guias de configuração para Cursor, VS Code, Claude Code, Claude.ai e compilação a partir do código-fonte estão no repositório.
Ainda não tem um cluster Elasticsearch? Inicie um teste gratuito do Elastic Cloud. Para mais informações sobre os componentes básicos do aplicativo, consulte as postagens relacionadas do Security Labs sobre Elastic Workflows e Agent Builder, Agent Skills e Attack Discovery.
O lançamento e o tempo de amadurecimento de todos os recursos ou funcionalidades descritos neste artigo permanecem a exclusivo critério da Elastic. Os recursos ou funcionalidades não disponíveis no momento poderão não ser entregues ou não chegarem no prazo previsto.