EN Contattaci

Elastic Security: SIEM e detection engine sullo stack ELK

Elastic Security unisce SIEM e endpoint (Endgame, acquisita ottobre 2019) sullo stack ELK. SIEM introdotto in Elastic 7.2 (giugno 2019), detection engine e prebuilt rules in 7.7 (13 maggio 2020). Licenza Apache 2.0 (Elastic Basic).

CybersecurityOpen Source
CybersecurityOpen Source Elastic SecuritySIEMELKDetection EngineeringCybersecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan → Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Dallo stack ELK al SIEM

Lo stack Elasticsearch + Logstash + Kibana è diventato negli anni 2010 la base di molti SIEM custom. Elastic N.V. (Amsterdam/Mountain View) formalizza un’offerta verticale security con l’app Elastic SIEM introdotta in Elastic 7.2 (giugno 2019).

Il 13 maggio 2020 viene rilasciata Elastic 7.7, che porta il detection engine e un corpus di prebuilt detection rules mantenute da Elastic. Da quel momento Elastic SIEM diventa una piattaforma completa con regole, alert, timeline e case management.

In parallelo, a ottobre 2019 Elastic acquisisce Endgame, integrando l’agent endpoint all’interno della stessa console: nasce Elastic Security come prodotto unificato SIEM + EDR.

Architettura

  • Elasticsearch — storage e ricerca su shard distribuiti
  • Kibana — console Elastic Security con timeline, alerts, cases, hosts, network, users
  • Elastic Agent + Fleet — deployment centralizzato di integrazioni (logs, metrics, endpoint)
  • Endpoint Security — prevention, detection e response sui client (ex Endgame)
  • Detection engine — valutazione regole Elastic-DSL, EQL, threshold, ML, indicator match

Rules e detection engineering

Le regole supportano più paradigmi:

  • Query rules — KQL/Lucene/Elastic-DSL su indici
  • EQL (Event Query Language) — sequence e join su eventi correlati
  • Threshold rules — soglie numeriche su aggregazioni
  • Indicator match — correlazione con threat intelligence
  • Machine learning rules — job ML anomaly detection
  • New terms — rilevamento di valori mai visti prima

Le regole sono mappate a MITRE ATT&CK e mantenute pubblicamente nel repository elastic/detection-rules (licenza Elastic License 2.0).

Licenza

Al 2020 Elastic Security è distribuito sotto Apache 2.0 per il core e Elastic License (proprietaria, source-available) per le feature “gold” (ML avanzato, cross-cluster search, support). Il tier gratuito “Basic” copre SIEM e la maggior parte delle feature di detection. Funzionalità avanzate richiedono sottoscrizioni Gold/Platinum/Enterprise.

Agenti e raccolta dati

La raccolta dati avviene tramite la famiglia Beats (Filebeat, Metricbeat, Auditbeat, Winlogbeat, Packetbeat), con integrazioni dedicate per oltre 100 sorgenti. La correlazione unifica log e telemetria endpoint.

Nel contesto italiano

Elastic Security è adottato in banche, telco, gruppi industriali come piattaforma SIEM+EDR integrata. In molti scenari convive con Wazuh o Suricata sul lato detection, e con SOC esterni che consumano API e alert. La valutazione attenta della licenza è parte del processo di procurement per PA e settori regolati.

Riferimenti: Elastic SIEM introdotto in Elastic 7.2 (giugno 2019). Detection engine e prebuilt rules in Elastic 7.7 (13 maggio 2020). Acquisizione Endgame: ottobre 2019. Licenza Apache 2.0 + Elastic License (source-available). Sito: https://www.elastic.co/security

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi