Blue Team Field NotesDFIR · SOC · Vulnerability Management
Elastic Security

Ingestion et ECS

Ingestion ECS, requêtes KQL/ES|QL, règles de détection et investigations dans Kibana.

Architecture minimale

Agent / Beats / Syslog
        ↓
Elastic Agent ou Logstash
        ↓
Elasticsearch (data streams)
        ↓
Kibana / Elastic Security

Elastic Common Schema

ECS facilite les recherches multi-sources. Champs importants :

Catégorie Champs
Événement event.category, event.type, event.action, event.code
Hôte host.name, host.id, host.ip
Utilisateur user.name, user.id, user.domain
Processus process.name, process.executable, process.command_line, process.parent.*
Réseau source.*, destination.*, network.protocol
Fichier file.path, file.hash.sha256

Vérifications dans Discover

host.name : * and event.category : process
_exists_ : process.command_line

Contrôle des retards

Compare @timestamp et event.created/event.ingested pour détecter un pipeline en retard.

FROM logs-*
| EVAL lag_seconds = DATE_DIFF("seconds", @timestamp, event.ingested)
| STATS avg_lag = AVG(lag_seconds), max_lag = MAX(lag_seconds) BY data_stream.dataset
| SORT max_lag DESC
À retenir

KQL filtre les documents. ES|QL permet aussi de transformer, agréger et produire des lignes d'alerte.

Références officielles