Elastic Stack (ELK)
Что такое Elastic Stack (ELK)?
Elastic Stack (ELK)Открытая платформа Elastic N.V., объединяющая Elasticsearch, Logstash, Kibana и Beats для приёма, индексации, поиска и визуализации журналов безопасности и эксплуатации в большом масштабе.
Elastic Stack — исторически известный как ELK — это пакет компании Elastic N.V., в основе которого Elasticsearch (распределённый поисково-аналитический движок на Lucene), Logstash (серверный пайплайн приёма и парсинга), Kibana (визуализация и дашборды) и Beats (лёгкие коллекторы Filebeat, Winlogbeat, Auditbeat). С 2021 года ядро распространяется по двойной лицензии Elastic License 2.0 и SSPL, а AWS форкнула его в проект OpenSearch под Apache 2.0. Команды безопасности используют его как SIEM через Elastic Security, который добавляет готовые правила обнаружения, привязку к ATT&CK, Elastic Agent, EDR (бывший Endgame) и SOAR на базе Elastic Cases. Wazuh, Security Onion и многие MDR-сервисы построены на Elastic или OpenSearch.
● Примеры
- 01
Отправка журналов Windows через Winlogbeat в Elasticsearch и срабатывание правил Elastic Security.
- 02
Построение в Kibana Lens дашборда неудачных SSH-входов по странам.
● Частые вопросы
Что такое Elastic Stack (ELK)?
Открытая платформа Elastic N.V., объединяющая Elasticsearch, Logstash, Kibana и Beats для приёма, индексации, поиска и визуализации журналов безопасности и эксплуатации в большом масштабе. Относится к категории Защита и операции в кибербезопасности.
Что означает Elastic Stack (ELK)?
Открытая платформа Elastic N.V., объединяющая Elasticsearch, Logstash, Kibana и Beats для приёма, индексации, поиска и визуализации журналов безопасности и эксплуатации в большом масштабе.
Как работает Elastic Stack (ELK)?
Elastic Stack — исторически известный как ELK — это пакет компании Elastic N.V., в основе которого Elasticsearch (распределённый поисково-аналитический движок на Lucene), Logstash (серверный пайплайн приёма и парсинга), Kibana (визуализация и дашборды) и Beats (лёгкие коллекторы Filebeat, Winlogbeat, Auditbeat). С 2021 года ядро распространяется по двойной лицензии Elastic License 2.0 и SSPL, а AWS форкнула его в проект OpenSearch под Apache 2.0. Команды безопасности используют его как SIEM через Elastic Security, который добавляет готовые правила обнаружения, привязку к ATT&CK, Elastic Agent, EDR (бывший Endgame) и SOAR на базе Elastic Cases. Wazuh, Security Onion и многие MDR-сервисы построены на Elastic или OpenSearch.
Как защититься от Elastic Stack (ELK)?
Защита от Elastic Stack (ELK) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Elastic Stack (ELK)?
Распространённые альтернативные названия: ELK, Стек ELK, Elastic SIEM.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 1225
Wazuh
Открытая XDR/SIEM платформа — форк OSSEC 2015 года, объединяющая телеметрию конечных точек, облака и контейнеров со встроенными дашбордами на Wazuh Indexer и Dashboard.
- defense-ops№ 997
Security Onion
Бесплатный открытый дистрибутив Linux для threat hunting, мониторинга сетевой безопасности и управления журналами, созданный Дугом Бёрксом и сопровождаемый Security Onion Solutions.
- forensics-ir№ 627
Анализ журналов
Систематический разбор системных, прикладных и защитных журналов для обнаружения, расследования и восстановления событий, значимых для безопасности.
- defense-ops№ 1080
Splunk Enterprise Security
Коммерческая SIEM от Splunk Inc. (приобретена Cisco в 2024 году), которая собирает, индексирует и коррелирует машинные данные через Splunk Processing Language (SPL) для мониторинга и расследования инцидентов.
- defense-ops№ 1062
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.