Elastic Stack (ELK)
¿Qué es Elastic Stack (ELK)?
Elastic Stack (ELK)Plataforma open source de Elastic N.V. que combina Elasticsearch, Logstash, Kibana y Beats para ingerir, indexar, buscar y visualizar logs de seguridad y operacion a gran escala.
El Elastic Stack —historicamente llamado ELK— es una suite desarrollada por Elastic N.V. en torno a Elasticsearch (motor distribuido de busqueda y analitica basado en Lucene), Logstash (pipeline de ingesta y parseo en servidor), Kibana (visualizacion y dashboards) y Beats (shippers ligeros como Filebeat, Winlogbeat, Auditbeat). Desde 2021 el nucleo se publica bajo licencia dual Elastic License 2.0 y SSPL, mientras que AWS lo bifurco como el proyecto OpenSearch (Apache 2.0). Los equipos de seguridad lo usan como SIEM mediante Elastic Security, que aporta reglas de deteccion, mapeos ATT&CK, el Elastic Agent, EDR (antiguo Endgame) y SOAR via Elastic Cases. Wazuh, Security Onion y muchos MDR se apoyan en la linea Elastic u OpenSearch.
● Ejemplos
- 01
Enviar logs de eventos Windows con Winlogbeat a Elasticsearch y disparar reglas de Elastic Security.
- 02
Crear con Kibana Lens un dashboard de logins SSH fallidos por pais.
● Preguntas frecuentes
¿Qué es Elastic Stack (ELK)?
Plataforma open source de Elastic N.V. que combina Elasticsearch, Logstash, Kibana y Beats para ingerir, indexar, buscar y visualizar logs de seguridad y operacion a gran escala. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Elastic Stack (ELK)?
Plataforma open source de Elastic N.V. que combina Elasticsearch, Logstash, Kibana y Beats para ingerir, indexar, buscar y visualizar logs de seguridad y operacion a gran escala.
¿Cómo funciona Elastic Stack (ELK)?
El Elastic Stack —historicamente llamado ELK— es una suite desarrollada por Elastic N.V. en torno a Elasticsearch (motor distribuido de busqueda y analitica basado en Lucene), Logstash (pipeline de ingesta y parseo en servidor), Kibana (visualizacion y dashboards) y Beats (shippers ligeros como Filebeat, Winlogbeat, Auditbeat). Desde 2021 el nucleo se publica bajo licencia dual Elastic License 2.0 y SSPL, mientras que AWS lo bifurco como el proyecto OpenSearch (Apache 2.0). Los equipos de seguridad lo usan como SIEM mediante Elastic Security, que aporta reglas de deteccion, mapeos ATT&CK, el Elastic Agent, EDR (antiguo Endgame) y SOAR via Elastic Cases. Wazuh, Security Onion y muchos MDR se apoyan en la linea Elastic u OpenSearch.
¿Cómo defenderse de Elastic Stack (ELK)?
Las defensas contra Elastic Stack (ELK) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Elastic Stack (ELK)?
Nombres alternativos comunes: ELK, Stack ELK, Elastic SIEM.
● Términos relacionados
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- defense-ops№ 1225
Wazuh
Plataforma XDR y SIEM de codigo abierto —fork de OSSEC desde 2015— que unifica telemetria de endpoint, cloud y contenedores con dashboards integrados sobre Wazuh Indexer y Dashboard.
- defense-ops№ 997
Security Onion
Distribucion Linux gratuita y open source para threat hunting, monitorizacion de red y gestion de logs, creada por Doug Burks y mantenida por Security Onion Solutions.
- forensics-ir№ 627
Análisis de registros
Revisión sistemática de registros de sistema, aplicaciones y seguridad para detectar, investigar y reconstruir eventos relevantes para la seguridad.
- defense-ops№ 1080
Splunk Enterprise Security
Solucion SIEM comercial de Splunk Inc. (adquirida por Cisco en 2024) que ingiere, indexa y correlaciona datos de maquina mediante Splunk Processing Language (SPL) para monitorizacion e investigacion de seguridad.
- defense-ops№ 1062
SOAR
Plataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.