Elastic Stack (ELK)
Was ist Elastic Stack (ELK)?
Elastic Stack (ELK)Quelloffene Plattform von Elastic N.V., die Elasticsearch, Logstash, Kibana und Beats verbindet, um Sicherheits- und Betriebs-Logs in grossem Massstab zu sammeln, zu indizieren, zu durchsuchen und zu visualisieren.
Der Elastic Stack — historisch ELK genannt — ist eine von Elastic N.V. entwickelte Suite rund um Elasticsearch (verteilte Lucene-basierte Such- und Analyse-Engine), Logstash (serverseitige Ingest- und Parsing-Pipeline), Kibana (Visualisierung und Dashboards) und Beats (leichtgewichtige Collector wie Filebeat, Winlogbeat, Auditbeat). Seit 2021 steht der Kern unter Doppellizenz Elastic License 2.0 und SSPL, wahrend AWS ihn als Apache-2.0-Projekt OpenSearch forkte. Security-Teams nutzen den Stack als SIEM uber Elastic Security, das vorgefertigte Detection-Rules, ATT&CK-Mappings, den Elastic Agent, EDR (vormals Endgame) und SOAR uber Elastic Cases erganzt. Wazuh, Security Onion und viele MDR-Dienste bauen auf Elastic oder OpenSearch auf.
● Beispiele
- 01
Mit Winlogbeat Windows-Event-Logs an Elasticsearch senden und Elastic-Security-Regeln ausloesen.
- 02
In Kibana Lens ein Dashboard fehlgeschlagener SSH-Logins pro Land bauen.
● Häufige Fragen
Was ist Elastic Stack (ELK)?
Quelloffene Plattform von Elastic N.V., die Elasticsearch, Logstash, Kibana und Beats verbindet, um Sicherheits- und Betriebs-Logs in grossem Massstab zu sammeln, zu indizieren, zu durchsuchen und zu visualisieren. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Elastic Stack (ELK)?
Quelloffene Plattform von Elastic N.V., die Elasticsearch, Logstash, Kibana und Beats verbindet, um Sicherheits- und Betriebs-Logs in grossem Massstab zu sammeln, zu indizieren, zu durchsuchen und zu visualisieren.
Wie funktioniert Elastic Stack (ELK)?
Der Elastic Stack — historisch ELK genannt — ist eine von Elastic N.V. entwickelte Suite rund um Elasticsearch (verteilte Lucene-basierte Such- und Analyse-Engine), Logstash (serverseitige Ingest- und Parsing-Pipeline), Kibana (Visualisierung und Dashboards) und Beats (leichtgewichtige Collector wie Filebeat, Winlogbeat, Auditbeat). Seit 2021 steht der Kern unter Doppellizenz Elastic License 2.0 und SSPL, wahrend AWS ihn als Apache-2.0-Projekt OpenSearch forkte. Security-Teams nutzen den Stack als SIEM uber Elastic Security, das vorgefertigte Detection-Rules, ATT&CK-Mappings, den Elastic Agent, EDR (vormals Endgame) und SOAR uber Elastic Cases erganzt. Wazuh, Security Onion und viele MDR-Dienste bauen auf Elastic oder OpenSearch auf.
Wie schützt man sich gegen Elastic Stack (ELK)?
Schutzmaßnahmen gegen Elastic Stack (ELK) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Elastic Stack (ELK)?
Übliche alternative Bezeichnungen: ELK, ELK-Stack, Elastic SIEM.
● Verwandte Begriffe
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- defense-ops№ 1225
Wazuh
Quelloffene XDR- und SIEM-Plattform — 2015 als Fork von OSSEC entstanden — die Endpoint-, Cloud- und Container-Telemetrie auf Wazuh Indexer und Dashboard vereint.
- defense-ops№ 997
Security Onion
Kostenlose, quelloffene Linux-Distribution fur Threat Hunting, Network Security Monitoring und Log-Management, ursprunglich von Doug Burks erstellt und von Security Onion Solutions gepflegt.
- forensics-ir№ 627
Log-Analyse
Systematische Auswertung von System-, Anwendungs- und Sicherheits-Logs, um sicherheitsrelevante Ereignisse zu erkennen, zu untersuchen und zu rekonstruieren.
- defense-ops№ 1080
Splunk Enterprise Security
Kommerzielle SIEM-Losung von Splunk Inc. (2024 von Cisco ubernommen), die Maschinendaten uber Splunk Processing Language (SPL) ingestiert, indiziert und korreliert.
- defense-ops№ 1062
SOAR
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.