Elastic Common Schema

Estruture seus dados no Elasticsearch

O Elastic Common Schema (ECS) fornece uma maneira consistente de estruturar seus dados no Elasticsearch, facilitando a análise de dados de diversas fontes. Com o ECS, conteúdo de analítica como dashboards e regras de detecção podem ser aplicados de forma mais ampla, as buscas podem ser elaboradas de maneira mais restrita e os nomes dos campos são mais fáceis de lembrar.

Introdução ao Elasticsearch: armazene, busque e analise com o Elastic Stack gratuito e aberto.
Assista ao vídeo
Introdução ao ELK: comece a trabalhar com logs, métricas, ingestão de dados e visualizações customizadas no Kibana.
Assista ao vídeo
Introdução ao Elastic Cloud: execute a sua primeira implantação.
Saiba mais

Por que usar o Common Schema?

Ao realizar análises interativas (por exemplo, busca, detalhamento e pivoting ou visualização) ou análises automatizadas (por exemplo, alerta, regras de detecção e detecção de anomalia orientada por machine learning), você precisa conseguir examinar seus dados com uniformidade. Entretanto, a menos que seus dados se originem de apenas uma fonte, você enfrenta inconsistências de formatação devido à disparidade dos tipos de dados e a ambientes heterogêneos com diferentes padrões de fornecedores.

O que é o ECS?

O ECS é uma especificação open source orientada pela comunidade que define um conjunto comum de campos, seus tipos de dados do Elasticsearch, valores permitidos e hierarquia de uso para dados ingeridos no Elasticsearch. Ele unifica todos os modos de análise disponíveis no Elastic, incluindo busca, detalhamento e pivoting, visualização de dados, detecção de anomalia com base em machine learning, regras de detecção e alerta.

Screenshot of ECS

Desenvolvimento de conteúdo simplificado

O ECS reduz o tempo gasto no desenvolvimento de conteúdo de analítica. Em vez de criar novas buscas e dashboards toda vez que sua organização adicionar uma nova fonte de dados, você poderá continuar aproveitando os existentes. Com o ECS, também é mais fácil para o seu ambiente adotar conteúdo de analítica diretamente de outras partes que usem o ECS, seja a Elastic, um parceiro ou um projeto open source.

Screenshot of ECS simplified content

Okta Brute Force Attack detection rule based on ECS

Integrações da Elastic

A Elastic fornece integrações prontas para uso para transmitir logs, eventos, métricas, traces, conteúdo e muito mais de seus apps, endpoints, infraestrutura, nuvem, rede, ferramentas do local de trabalho e todas as outras fontes comuns no seu ecossistema. Essas integrações garantem que você possa interagir com seus dados nas soluções da Elastic, como Security e Observabilility, entre outras áreas do Elastic Stack.
 
Os dados ingeridos dessas integrações já estão mapeados para o ECS. Você simplesmente habilita a integração, faz a ingestão dos dados e pode começar a interagir com seus dados formatados pelo ECS.

Mapeamento de dados para o ECS

Embora as integrações da Elastic mapeiem automaticamente os dados para o ECS, você provavelmente tem outras fontes de dados que gostaria de normalizar para o ECS, a fim de colher os benefícios delas também. Há muitas opções disponíveis para ajudar você a mapear seus dados para o ECS. Este post do blog fornece um ótimo exemplo de mapeamento de fonte de dados de segurança para o ECS.

Envolva-se com o ECS

O ECS é um esquema em evolução com atualizações regulares para abordar novos casos de uso, com base no feedback da comunidade.

Quer saber mais? Explore a documentação do ECS no site Elastic.co/pt ou no repositório do ECS

Tem uma pergunta ou sugestão? Acesse os fóruns de discussão da Elastic, junte-se a nós no canal da comunidade do ECS no Slack ou abra um incidente no repositório do ECS.