Elastic Stack (ELK)
Qu'est-ce que Elastic Stack (ELK) ?
Elastic Stack (ELK)Plateforme open source d'Elastic N.V. combinant Elasticsearch, Logstash, Kibana et Beats pour ingerer, indexer, rechercher et visualiser des logs de securite et d'operations a grande echelle.
L'Elastic Stack — historiquement appele ELK — est une suite developpee par Elastic N.V. autour d'Elasticsearch (moteur distribue de recherche et d'analytique base sur Lucene), Logstash (pipeline d'ingestion et de parsing serveur), Kibana (visualisation et tableaux de bord) et Beats (collecteurs legers comme Filebeat, Winlogbeat, Auditbeat). Depuis 2021, le coeur est sous double licence Elastic License 2.0 et SSPL, tandis qu'AWS l'a fork sous le projet OpenSearch (Apache 2.0). Les equipes securite l'utilisent comme SIEM via Elastic Security, qui apporte des regles de detection, des mappings ATT&CK, l'Elastic Agent, l'EDR (ex-Endgame) et un SOAR via Elastic Cases. Wazuh, Security Onion et de nombreux MDR reposent sur la ligne Elastic ou OpenSearch.
● Exemples
- 01
Envoyer des logs d'evenements Windows avec Winlogbeat vers Elasticsearch et declencher des regles Elastic Security.
- 02
Construire un tableau de bord Kibana Lens des echecs de login SSH par pays.
● Questions fréquentes
Qu'est-ce que Elastic Stack (ELK) ?
Plateforme open source d'Elastic N.V. combinant Elasticsearch, Logstash, Kibana et Beats pour ingerer, indexer, rechercher et visualiser des logs de securite et d'operations a grande echelle. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Elastic Stack (ELK) ?
Plateforme open source d'Elastic N.V. combinant Elasticsearch, Logstash, Kibana et Beats pour ingerer, indexer, rechercher et visualiser des logs de securite et d'operations a grande echelle.
Comment fonctionne Elastic Stack (ELK) ?
L'Elastic Stack — historiquement appele ELK — est une suite developpee par Elastic N.V. autour d'Elasticsearch (moteur distribue de recherche et d'analytique base sur Lucene), Logstash (pipeline d'ingestion et de parsing serveur), Kibana (visualisation et tableaux de bord) et Beats (collecteurs legers comme Filebeat, Winlogbeat, Auditbeat). Depuis 2021, le coeur est sous double licence Elastic License 2.0 et SSPL, tandis qu'AWS l'a fork sous le projet OpenSearch (Apache 2.0). Les equipes securite l'utilisent comme SIEM via Elastic Security, qui apporte des regles de detection, des mappings ATT&CK, l'Elastic Agent, l'EDR (ex-Endgame) et un SOAR via Elastic Cases. Wazuh, Security Onion et de nombreux MDR reposent sur la ligne Elastic ou OpenSearch.
Comment se défendre contre Elastic Stack (ELK) ?
Les défenses contre Elastic Stack (ELK) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Elastic Stack (ELK) ?
Noms alternatifs courants : ELK, Stack ELK, Elastic SIEM.
● Termes liés
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- defense-ops№ 1225
Wazuh
Plateforme XDR et SIEM open source — fork d'OSSEC depuis 2015 — qui unifie la telemetrie endpoint, cloud et conteneurs avec des tableaux de bord integres sur Wazuh Indexer et Dashboard.
- defense-ops№ 997
Security Onion
Distribution Linux gratuite et open source pour le threat hunting, la supervision reseau et la gestion de logs, creee par Doug Burks et maintenue par Security Onion Solutions.
- forensics-ir№ 627
Analyse des journaux
Examen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité.
- defense-ops№ 1080
Splunk Enterprise Security
Solution SIEM commerciale de Splunk Inc. (rachete par Cisco en 2024) qui ingere, indexe et correle des donnees machine via Splunk Processing Language (SPL) pour la supervision et l'investigation de securite.
- defense-ops№ 1062
SOAR
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.