Thiago Teixeira
EN | PT

ELK Stack

Elastic

Elasticsearch + Logstash + Kibana — pipeline e análise de logs open-source mais popular.

Logs e SIEM Freemium Plataforma / Suíte Em Estudo Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O ELK Stack ("Elastic Stack") é o pipeline open-source de logs mais popular:

  • Elasticsearch — motor distribuído de busca/armazenamento.
  • Logstash — pipeline de envio/parsing.
  • Kibana — visualização, busca e UI de SIEM.
  • Beats (Filebeat, Winlogbeat, Packetbeat) — shippers leves.
  • Elastic SIEM — regras de detecção, timeline, casos.

Para o CySA+, é a alternativa econômica ao Splunk e o núcleo de muitos stacks open de SOC (Wazuh, Security Onion).

Casos de uso

  • SIEM self-hosted para empresas evitando licenças comerciais
  • Armazenamento frio de longo prazo para compliance
  • Detection-as-code via regras prontas do Elastic

Exemplo

event.module: "winlogbeat" AND winlog.event_id: 4625 AND winlog.event_data.SubStatus: "0xC0000064"