CyberScan
Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.
Scopri CyberScan →
Cyber Security
Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.
Scopri →Dallo stack ELK al SIEM
Lo stack Elasticsearch + Logstash + Kibana è diventato negli anni 2010 la base di molti SIEM custom. Elastic N.V. (Amsterdam/Mountain View) formalizza un’offerta verticale security con l’app Elastic SIEM introdotta in Elastic 7.2 (giugno 2019).
Il 13 maggio 2020 viene rilasciata Elastic 7.7, che porta il detection engine e un corpus di prebuilt detection rules mantenute da Elastic. Da quel momento Elastic SIEM diventa una piattaforma completa con regole, alert, timeline e case management.
In parallelo, a ottobre 2019 Elastic acquisisce Endgame, integrando l’agent endpoint all’interno della stessa console: nasce Elastic Security come prodotto unificato SIEM + EDR.
Architettura
- Elasticsearch — storage e ricerca su shard distribuiti
- Kibana — console Elastic Security con timeline, alerts, cases, hosts, network, users
- Elastic Agent + Fleet — deployment centralizzato di integrazioni (logs, metrics, endpoint)
- Endpoint Security — prevention, detection e response sui client (ex Endgame)
- Detection engine — valutazione regole Elastic-DSL, EQL, threshold, ML, indicator match
Rules e detection engineering
Le regole supportano più paradigmi:
- Query rules — KQL/Lucene/Elastic-DSL su indici
- EQL (Event Query Language) — sequence e join su eventi correlati
- Threshold rules — soglie numeriche su aggregazioni
- Indicator match — correlazione con threat intelligence
- Machine learning rules — job ML anomaly detection
- New terms — rilevamento di valori mai visti prima
Le regole sono mappate a MITRE ATT&CK e mantenute pubblicamente nel repository elastic/detection-rules (licenza Elastic License 2.0).
Licenze — punto importante
Da gennaio 2021 Elastic ha cambiato licenza da Apache 2.0 a dual licensing Elastic License 2.0 + SSPL. Entrambe non sono OSI-approved.
- L’uso gratuito “Basic” copre Elastic Security (SIEM + molte feature), ma la licenza non permette la fornitura di Elasticsearch come servizio gestito a terzi
- Funzionalità avanzate (ML illimitato, cross-cluster search, support) richiedono sottoscrizioni Gold/Platinum/Enterprise
- Nel 2024 Elastic ha aggiunto la AGPLv3 come terza opzione per Elasticsearch e Kibana, ma questo non cambia lo status OSI di Elastic License 2.0
In scenari che richiedono strettamente software OSI-compliant, alternative come OpenSearch (fork AWS) o Wazuh + Graylog vanno valutate.
Fleet ed Elastic Agent
Elastic Agent (GA in 7.14, agosto 2021) sostituisce Beats come agent unico: raccoglie log, metriche ed eventi endpoint. La gestione centralizzata avviene tramite Fleet, con policy versionate e deploy automatico di integrazioni (oltre 300 disponibili).
Nel contesto italiano
Elastic Security è adottato in banche, telco, gruppi industriali come piattaforma SIEM+EDR integrata. In molti scenari convive con Wazuh o Suricata sul lato detection, e con SOC esterni che consumano API e alert. La valutazione attenta della licenza è parte del processo di procurement per PA e settori regolati.
Riferimenti: Elastic SIEM introdotto in Elastic 7.2 (giugno 2019). Detection engine e prebuilt rules in Elastic 7.7 (13 maggio 2020). Acquisizione Endgame: ottobre 2019. Licenza: Elastic License 2.0 + SSPL (dal gennaio 2021; non OSI-approved). AGPLv3 aggiunta nel 2024. Sito: https://www.elastic.co/security