Dentro de Elastic, el equipo de seguridad de la información tiene la tarea de detección y análisis de seguridad, entre muchas otras actividades de un equipo típico de seguridad de la información. Para encontrar comportamientos anormales y maliciosos en nuestro entorno, aprovechamos Elastic SIEM para investigaciones y búsqueda de amenazas. Cuando encontramos un patrón de comportamiento en el que queremos recibir alertas durante una investigación o búsqueda, tomamos la solicitud JSON detrás de nuestra investigación y la ponemos en contacto con Watcher para recibir alertas. Recientemente, decidimos comenzar a capturar la carga útil de nuestras alertas en un índice separado con los siguientes objetivos:

1. Mejor información sobre las alertas que se activan y observables (hosts, usuarios, IP, etc.) que forman parte de una carga útil de alertas.
2. Enriquecimiento de las cargas de alerta con información de MITRE ATT y CK y libros de jugadas de respuesta. Esto acelerará aún más los analistas y proporcionará informes adicionales sobre los comportamientos observados y la cobertura del marco MITER ATT & CK.

Watcher tiene una acción de índice que le permite indexar datos en Elasticsearch, pero quería hacer algo más que enviar los datos de alerta a otro índice, quería enriquecerlos con datos adicionales, así que fui creativo para que esto sucediera. 

Indización de alertas y enriquecimiento

No me sumergiré en el cuerpo del Observador; Asumiré que si estás leyendo esto, ya tienes la configuración de Watcher para alertas. Para obtener los enriquecimientos en la carga útil de alerta, utilicé una transformación de carga útil de Watcher para enumerar cada objeto en ctx.payload.hits.hits , y luego lo agregué en los campos enriquecidos de MITER ATT & CK. Notarás que usamos parámetros para inyectar los valores de los campos recién creados.

Más información y tutorial completo, pagina web Elastic