Elastic Security
Ingestion et ECS
Ingestion ECS, requêtes KQL/ES|QL, règles de détection et investigations dans Kibana.
Architecture minimale
Agent / Beats / Syslog
↓
Elastic Agent ou Logstash
↓
Elasticsearch (data streams)
↓
Kibana / Elastic Security
Elastic Common Schema
ECS facilite les recherches multi-sources. Champs importants :
| Catégorie | Champs |
|---|---|
| Événement | event.category, event.type, event.action, event.code |
| Hôte | host.name, host.id, host.ip |
| Utilisateur | user.name, user.id, user.domain |
| Processus | process.name, process.executable, process.command_line, process.parent.* |
| Réseau | source.*, destination.*, network.protocol |
| Fichier | file.path, file.hash.sha256 |
Vérifications dans Discover
host.name : * and event.category : process
_exists_ : process.command_line
Contrôle des retards
Compare @timestamp et event.created/event.ingested pour détecter un pipeline en retard.
FROM logs-*
| EVAL lag_seconds = DATE_DIFF("seconds", @timestamp, event.ingested)
| STATS avg_lag = AVG(lag_seconds), max_lag = MAX(lag_seconds) BY data_stream.dataset
| SORT max_lag DESC
À retenir
KQL filtre les documents. ES|QL permet aussi de transformer, agréger et produire des lignes d'alerte.