Carrie Pascale

Resumo das integrações do Elastic Security: 1º trimestre de 2026

A Elastic Security Labs anuncia nove novas integrações para o Elastic Security, abrangendo segurança na nuvem, visibilidade de endpoints, detecção de ameaças em e-mails, identidade e SIEM.

5 min de leituraAtualizações de produtos

Uma análise trimestral do ecossistema de integrações de segurança da Elastic.

As equipes de segurança só podem proteger aquilo que conseguem ver. Lacunas na cobertura, como uma frota de macOS gerando logs que nunca chegam ao seu SIEM, um gateway de e-mail funcionando isoladamente ou um ambiente de nuvem produzindo resultados que permanecem isolados no console do fornecedor, são facilmente exploradas por invasores.

A resposta da Elastic para isso é o investimento contínuo e aberto em integrações de terceiros, baseado na crença de que um ecossistema de segurança robusto requer integrações profundas que tornem os dados de todos os cantos da pilha pesquisáveis e contextualizados. Hoje, estamos anunciando nove novas integrações para o Elastic Security, abrangendo segurança na nuvem, visibilidade de endpoints, detecção de ameaças em e-mails, identidade e SIEM.

Cada integração é fornecida com pipelines de ingestão que normalizam e estruturam os dados de forma automatizada, juntamente com painéis pré-configurados que servem como ponto de partida imediato para visualização e análise, permitindo que as equipes pesquisem, correlacionem e investiguem novas fontes de dados desde o primeiro dia, sem precisar escrever ou manter analisadores sintáticos.

Eventos de segurança do macOS

O Elastic Defend, a integração nativa que fornece o Elastic Endpoint Security, coleta dados de telemetria de segurança abrangentes no macOS e está intencionalmente focado em sinais de detecção de alto valor, em vez de auditoria completa do sistema. Eventos de login e logout, criação e exclusão de contas, alterações no registro de serviços e logs de diagnóstico de aplicativos ficam fora desse escopo, deixando os analistas de ameaças e as equipes de resposta a incidentes sem um contexto completo do macOS. A integração de Eventos de Segurança do macOS complementa o Elastic Defend, fornecendo a mesma visibilidade em nível de sistema operacional oferecida aos dispositivos Windows por meio da integração de Logs de Eventos do Windows.

Os endpoints MacOS geram dezenas de milhares de entradas de log unificadas por endpoint. Sem filtragem, esse volume cria ruído em vez de sinais. Essa integração inclui filtros baseados em predicados que restringem a ingestão a eventos relevantes para a segurança: atividade de autenticação, execução de processos, conexões de rede, alterações no sistema de arquivos e modificações na configuração do sistema.

Esses filtros baseados em predicados permitem uma cobertura abrangente do macOS sem o custo ou a complexidade de importar tudo. Uma vez ingeridos, esses eventos ficam imediatamente disponíveis para o Assistente de IA da Elastic Security. Os analistas podem fazer perguntas em linguagem natural, como "Mostre-me todas as tentativas de escalonamento de privilégios em endpoints macOS nas últimas 24 horas" ou "Resuma as falhas de login para este host", transformando entradas de log unificadas brutas em contexto de investigação acionável sem escrever uma única consulta.

Confira a integração com os Eventos de Segurança do macOS .

IBM QRadar

Para equipes que executam o IBM QRadar em paralelo com o Elastic Security, a ingestão de alertas no Elastic tornou-se mais fácil. A integração com o QRadar coleta registros de incidentes dos endpoints de incidentes e regras do QRadar, enriquecendo cada alerta com o nome, ID, tipo e proprietário da regra que o acionou, para que os analistas possam triar os incidentes no Elasticsearch sem precisar voltar ao QRadar.

Essa integração é a base do fluxo de trabalho de migração SIEM da Elastic para o QRadar, que espelha a funcionalidade já disponível para o Splunk. As equipes também podem usar a Migração Automática para migrar suas regras do QRadar para o Elastic. Ele usa busca semântica e IA generativa para mapear regras existentes para as mais de 1.300 detecções pré-construídas da Elastic e traduz tudo o que não se encaixa diretamente em ES|QL, permitindo que você consolide sua infraestrutura SIEM sem precisar reconstruir manualmente toda a sua biblioteca de detecção.

Confira a integração do IBM QRadar .

Proofpoint Essentials

Para clientes corporativos, o TAP (Targeted Attack Protection) da Proofpoint está disponível no Elastic. Para oferecer a mesma visibilidade de ameaças por e-mail a ambientes de pequenas e médias empresas (PMEs) e aos provedores de serviços gerenciados (MSPs) e MSSPs que os atendem, o Proofpoint Essentials já está disponível.

A integração do Proofpoint Essentials transmite quatro tipos de eventos para o Elastic Security:

  • Cliques em URLs maliciosos que foram bloqueados
  • Cliques que foram permitidos
  • Mensagens bloqueadas por conterem ameaças reconhecidas pela Defesa de URL ou pela Defesa de Anexos.
  • As mensagens foram entregues apesar de conterem essas ameaças.

Para facilitar a visualização desses dados, dois painéis pré-configurados estão disponíveis:

Para uma equipe de SOC de uma pequena ou média empresa, isso significa que tentativas de phishing, detecções de malware e violações de políticas chegam à mesma plataforma que o restante da telemetria de segurança, eliminando a necessidade de alternar entre plataformas para entender o contexto completo de uma ameaça.

Confira a integração com o Proofpoint Essentials .

Central de segurança da AWS

O AWS Security Hub agrega descobertas em todo o seu ambiente AWS, mas investigar essas descobertas significa permanecer dentro do console da AWS, separado dos dados de segurança do restante da sua equipe. A integração com o Elastic muda isso ao importar as descobertas do Security Hub para o Elastic no formato Open Cybersecurity Schema Framework (OCSF) e normalizá-las para o ECS, oferecendo dados consistentes com o esquema e que podem ser pesquisados imediatamente via ES|QL.

As descobertas são exibidas na página de Descobertas de Vulnerabilidades da Elastic , integrando a postura de segurança da nuvem AWS diretamente aos fluxos de trabalho já existentes. A partir daí, você pode correlacionar os dados do Security Hub com sinais de outras fontes — alertas de endpoint, eventos de identidade, telemetria de rede — para construir uma visão mais completa do risco em todo o seu ambiente AWS e investigar mais rapidamente do que o console nativo permite.

Confira a integração com o AWS Security Hub .

Mais novas integrações com o Elastic Security

Além das integrações destacadas acima, as seguintes integrações já estão disponíveis, cada uma com painéis pré-configurados para uso imediato:

  • JupiterOne: Inteligência de ativos e monitoramento da superfície de ataque na nuvem, incorporando alertas de diversas ferramentas, descobertas de CVE e detecções de ameaças, enriquecidas com mapeamentos MITRE ATT&CK, pontuações CVSS e contexto do host para uma visibilidade unificada de riscos.
  • Airlock Digital: Listas de permissões de aplicativos e telemetria de controle de execução, capturando execuções de processos bloqueados com linhas de comando, hashes de arquivos e contexto do editor, para que as tentativas de execução não autorizadas sejam visíveis e correlacionáveis com o restante das suas detecções de endpoints.
  • Island Browser: Eventos de segurança do navegador corporativo que abrangem a navegação do usuário, a postura do dispositivo, a detecção de credenciais comprometidas e a atividade administrativa, ampliando a visibilidade da Elastic para dispositivos BYOD e não gerenciados, onde os agentes de endpoint tradicionais não podem ser implementados.
  • Ironscales: Detecção de eventos de phishing com inteligência artificial, capturando metadados de e-mail, reputação do remetente, número de caixas de correio afetadas e links suspeitos, correlacionáveis com dados de endpoint e identidade para investigação e resposta mais rápidas.
  • Cyera: Gerenciamento de postura de segurança de dados, revelando riscos de dados sensíveis, incluindo gravidade da exposição, número de registros afetados, violações da estrutura de conformidade e propriedade do armazenamento de dados em ambientes de nuvem, para que a exposição de dados sensíveis não fique isolada em um console DSPM separado.

Começar

Essas integrações refletem a abordagem aberta da Elastic em relação à segurança. Todas as nove integrações desta seleção vêm com painéis pré-configurados e mapeamentos nativos do ECS, proporcionando à sua equipe visibilidade imediata, sem necessidade de configuração adicional ou trabalho de visualização personalizada.

A partir daí, as descobertas, alertas e registros ficam imediatamente disponíveis para os recursos mais amplos de detecção e investigação da Elastic: Descoberta de Ataques para revelar ameaças em vários estágios, Assistente de IA para investigação em linguagem natural e resposta guiada, e para ES|QL e EQL para consultas personalizadas de detecção e busca.

Tem perguntas ou comentários? Participe do canal #security-siem no Slack da comunidade Elastic Stack.

Compartilhe este artigo

XFacebookLinkedInReddit