Paul EwingSandiya Ramamoorthy

Da hipótese à ação: Busca proativa de ameaças com o Elastic Security.

O Elastic Security foi projetado para permitir a busca de ameaças orientada por hipóteses com rapidez e em grande escala. Ao unificar a telemetria de segurança e habilitar análises em clusters, os analistas de ameaças podem fazer perguntas complexas em todos os seus dados, correlacionar sinais e validar hipóteses rapidamente, sem a necessidade de junção manual de dados.

6 minutos de leituraAtualizações de produtos
Da hipótese à ação: Busca proativa de ameaças com o Elastic Security.

Quando surge uma nova técnica de um agente de ameaça — seja em um blog de pesquisa, um feed de inteligência ou notícias de última hora — todo analista de ameaças instintivamente entra em modo de formulação de hipóteses. Será que isso pode estar acontecendo no meu ambiente? Será que os primeiros sinais estão se escondendo no ruído?

Tomemos como exemplo a recente pesquisa da TOLLBOOTH. No momento em que a Elastic Security Labs publicou a cadeia de ataque, um analista pode começar a formular hipóteses com base em técnicas específicas descritas, tais como:

  • Os logs do servidor IIS, historicamente congelados ou arquivados, apresentaram alguma anomalia quando reexaminados com telemetria completa?
  • Há indícios de extração de credenciais ou tentativas de escalonamento de privilégios em algum servidor IIS?

Essa é a essência da caça baseada em hipóteses: comece com uma ameaça em desenvolvimento e rapidamente faça perguntas direcionadas. É uma das maneiras mais eficazes de se antecipar a ataques emergentes, mas exige ampla visibilidade e ferramentas que acompanhem sua curiosidade.

A realidade para muitas equipes da SOC, no entanto, fica aquém do esperado. Eles enfrentam silos de dados, capacidades de busca limitadas e o cansaço da correlação manual.

O Elastic Security foi projetado para remover essas barreiras, permitindo a busca de ameaças orientada por hipóteses com rapidez e em grande escala. Ao unificar a telemetria de segurança e habilitar análises em clusters, os analistas de ameaças podem fazer perguntas complexas em todos os seus dados, correlacionar sinais e validar hipóteses rapidamente, sem a necessidade de junção manual de dados.

Essa capacidade é fornecida por meio de um conjunto de elementos fundamentais que funcionam em conjunto:

  • Fluxos de trabalho baseados em agentes triam alertas, enquanto um assistente de IA fundamentado em conhecimento gera consultas ES|QL validadas, conduz a remediação e recomenda os próximos passos.

  • O Elastic Security Labs oferece pesquisas de ameaças e insights sobre adversários continuamente atualizados, que são incorporados diretamente nas detecções e investigações.

  • Regras de detecção que oferecem cobertura imediata, alinhadas a técnicas de ataque e cenários de busca do mundo real.

  • Análises de entidades para correlacionar usuários, hosts e serviços, atribuir pontuações de risco e revelar anomalias, enriquecendo cada investigação.

  • Aprendizado de máquina e detecção de anomalias para revelar desvios do comportamento normal e expor ameaças desconhecidas ou emergentes.

  • ES|QL, visualizações e busca entre clusters permitem consultas rápidas e expressivas, análises intuitivas e buscas perfeitas em ambientes distribuídos, sem pontos cegos.

Em conjunto, esses componentes oferecem às equipes de segurança a velocidade, a escalabilidade e a profundidade analítica necessárias para passar da investigação reativa à busca proativa e confiante de ameaças, testando hipóteses em todos os seus dados dentro de uma única plataforma unificada do Elastic Security.

Na floresta: Navegando por uma caçada LOLBins no mundo real

Esta seção mostra como uma busca por ameaças se desenrola na prática, desde uma barra de pesquisa vazia até uma ameaça confirmada e contida, por meio de um cenário do mundo real focado em Living Off the Land Binaries (LOLBins).

Elabore sua hipótese com um assistente de IA baseado em RAG.

Sua investigação pode começar mesmo antes de você escrever uma única pergunta. Você pode usar o Assistente de IA com tecnologia de geração aumentada por recuperação (RAG) da Elastic para obter fontes de conhecimento confiáveis, como as pesquisas do Elastic Security Labs, e construir a base de sua hipótese. Você pode adicionar quaisquer fontes confiáveis como conhecimento para garantir que o Assistente reflita os dados nos quais você se baseia.

Se você ainda não tem um alvo específico, pode perguntar ao Assistente.

Com base nas tendências atuais, qual hipótese devo usar para iniciar minha busca hoje? O Assistente analisa a base de conhecimento configurada, que fornece o contexto relevante e gera diretamente uma hipótese principal, juntamente com razões e evidências que a sustentam. Nesse cenário, o conteúdo do Elastic Security Labs foi adicionado à base de conhecimento para fornecer o contexto.

Relaxe enquanto o Assistente de IA cria sua consulta personalizada de busca de ameaças.

Após aceitar a hipótese LOLBin, o Assistente de IA gera uma consulta precisa de busca de ameaças em ES|QL, personalizada para o seu ambiente. Em vez de escrever sintaxe complexa do zero, você recebe uma pesquisa direcionada, projetada para revelar comportamentos suspeitos específicos.

Para garantir que as consultas estejam prontas para serem executadas, o Elastic AI Assistant utiliza um fluxo de trabalho baseado em agentes para gerar consultas ES|QL personalizadas a partir de casos de uso fornecidos por humanos. Ele utiliza os dados do seu cluster Elastic para criar respostas precisas e prontas para uso, além de realizar validação automática antes de retornar a consulta final. Essa validação em segundo plano elimina a necessidade de solução de problemas manual, fornecendo uma consulta verificada e pronta para uso que pode ser inserida diretamente na linha do tempo da sua investigação a partir do Assistente de IA.

Alternativamente, você pode vincular um repositório do GitHub com as consultas de busca de ameaças da Elastic à base de conhecimento do Assistente para usar as consultas existentes como ponto de partida para suas próximas etapas.

Identifique ameaças em todo o seu ambiente com o ES|QL

Se você gerencia um ambiente global e precisa determinar se essa atividade está ocorrendo em outros clusters, pode expandir sua hipótese solicitando ao Assistente de IA que adapte a consulta para uma Busca entre Clusters (CCS). Isso permite que você pesquise em vários clusters em seu ambiente — incluindo dados congelados e de longo prazo — sem interromper seu fluxo de trabalho de investigação.

Faça a transição perfeita do Assistente de IA para a visualização da linha do tempo e execute a consulta. Esta busca direcionada revela uma descoberta crítica: uma instância do rundll32.exe em execução em um servidor Windows com o nome de host elastic-defend-endpoint sob a conta de usuário gbadmin *.*

Adicione contexto com análises e visualizações.

Encontrar uma ocorrência é apenas o primeiro passo; agora, você precisa determinar se é um administrador realizando manutenção ou um ataque real. Validar suas ideias exige análises aprofundadas de hosts e usuários. Ao analisar os detalhes do host afetado, você chega aos Detalhes da Entidade.

Aqui, você não está vendo apenas um nome de host. Você está vendo uma visão consolidada da pontuação de risco do host, os alertas específicos que contribuem para essa pontuação e a criticidade do ativo — tudo em um só lugar. Ao reunir sinais de detecção, anomalias comportamentais e importância dos ativos, a pontuação de risco de entidades da Elastic ajuda os analistas a entender rapidamente por que um ativo é arriscado, qual a urgência da ameaça e onde concentrar seus esforços primeiro. Esse contexto unificado reduz o tempo de investigação, minimiza as suposições e permite uma priorização confiável em ambientes de alto volume.

Confirme a anomalia com aprendizado de máquina.

Ao analisar a pontuação de risco, as evidências que a sustentam são exibidas ao lado. Você pode ver os alertas específicos que contribuem para a pontuação de risco elevada, incluindo uma combinação de alertas de gravidade média e um alerta de aprendizado de máquina (ML), como "Atividade incomum no caminho do Windows".

Como o aprendizado de máquina (ML) é particularmente adequado para detectar desvios sutis que as regras estáticas geralmente não percebem, ver um alerta de ML contribuindo para a pontuação de risco ajuda a validar que essa atividade não é apenas ruído — ela aponta para uma anomalia comportamental significativa.

Os detalhes do evento visualizam imediatamente a linhagem do processo, revelando as evidências críticas diretamente no painel. Essas informações transformam sua hipótese de plausível em comprovável.

Agir: da compreensão à resposta

Após validar sua hipótese ao descobrir atividades suspeitas, o próximo passo imediato é a resposta. O Elastic Security permite que os responsáveis pela resposta a incidentes atuem diretamente a partir de suas investigações, sem precisar trocar de plataforma.

Após a confirmação de um host comprometido, você pode tomar medidas a partir do console, isolando o host para impedir a movimentação lateral ou encerrando a árvore de processos maliciosos descoberta em sua busca com o LOLBIN. Essa transição perfeita da investigação para a resposta permite uma contenção rápida, utilizando as mesmas ferramentas e o mesmo contexto.

Operacionalizar consultas e automatizar a busca

Para automatizar buscas futuras e eliminar a verificação manual de padrões recorrentes, você pode importar diretamente uma consulta para uma regra de detecção operacional ou criar uma regra para comportamentos específicos, anomalias ou novos valores de termos que aparecem pela primeira vez e convertê-la em uma regra de detecção totalmente operacional com um único clique.

Em ambientes corporativos, uma busca por LOLBin pode gerar rapidamente um grande volume de alertas. É aqui que a descoberta de ataques baseada em agentes faz uma grande diferença. Seu principal objetivo é ajudá-lo a priorizar de forma eficiente, correlacionando sinais automaticamente e destacando a atividade que requer atenção imediata.

Você também pode agrupar e etiquetar alertas relacionados à caça de ataques e executar a Descoberta de Ataques especificamente nesses conjuntos para descobrir padrões relevantes. Essa flexibilidade torna o Attack Discovery valioso não apenas para a triagem automatizada de alertas, mas também para fluxos de trabalho avançados de busca de ameaças baseados em hipóteses.

Bônus: Automatize com o Elastic Agent Builder

Imagine criar um agente personalizado LOLBin Hunter— desenvolvido especificamente para buscar atividades do tipo LOLBin em seus dados de segurança. Usando o Elastic Agent Builder, você pode criar esse agente com tecnologia LLM e equipado com ferramentas como as consultas ES|QL usadas em seu fluxo de trabalho manual.

Uma vez configurado, você poderá interagir com seus dados de segurança usando linguagem natural, e o agente analisará sua solicitação, selecionará as ferramentas mais relevantes e tomará as medidas necessárias. Por exemplo, você poderia perguntar: "Mostre-me a atividade do LOLBin que desencadeou anomalias de aprendizado de máquina e resuma os hosts afetados e suas pontuações de risco."

Antecipe-se aos ataques emergentes com a Elastic Security.

A busca por ameaças orientada por hipóteses é fundamental para se manter à frente dos ataques modernos, mas pode ser complexa e demorada sem as ferramentas adequadas. A Elastic Security combina investigação assistida por IA, pesquisa ES|QL, análise contextual, aprendizado de máquina e resposta integrada para tornar cada etapa mais simples e rápida.

Desde o momento em que uma nova ameaça surge até a resposta efetiva, a Elastic capacita os analistas a descobrir sinais ocultos, validar suas hipóteses e agir com decisão — transformando dados brutos em inteligência e inteligência em ação.

Tem interesse em saber mais sobre o Elastic Security? Confira nossos webinars, eventos e muito mais ou comece hoje mesmo com seu teste gratuito .

Compartilhe este artigo

XFacebookLinkedInReddit