Elastic Agent — políticas e integraciones
En el artículo anterior, comenzamos desde cero nuestro viaje para comprender Elastic Agent. En ese primer capítulo, exploramos los aspectos fundamentales de esta herramienta. Ahora, en esta entrega, nos sumergimos aún más en el mundo de Elastic Agent al explorar en detalle las políticas e integraciones que ofrece.
Las políticas de Elastic Agent son un conjunto de configuraciones predefinidas que determinan qué tipos de datos se deben recopilar y cómo deben ser recopilados. Esto abarca aspectos como métricas, registros y otros datos pertinentes para el monitoreo y la gestión de sistemas. Es fundamental comprender que estas políticas pueden ser asignadas a grupos de agentes o equipos específicos, lo que brinda la flexibilidad necesaria para personalizar la configuración según las necesidades de cada grupo en particular.
Para entender mejor este concepto, vamos a ver este ejemplo práctico. Supongamos que estás a cargo de la gestión de una red de servidores que incluye tanto servidores de correo como servidores web. Cada tipo de servidor genera datos diferentes y requiere un enfoque de monitoreo específico. Aquí es donde las políticas de Elastic Agent entran en juego. Puedes establecer una política de recolección de registros o logs diferente para los servidores de correo en comparación con los servidores web. De esta manera, aseguras que la recopilación de datos sea precisa y se adapte a las necesidades particulares de cada grupo de servidores.
Hablemos ahora de las integraciones, otro componente clave en Elastic Agent. Estas integraciones son módulos preconfigurados que simplifican enormemente la recopilación de datos desde una variedad de fuentes, como sistemas operativos, servicios en la nube (como AWS y Azure), aplicaciones (como Apache y Nginx) y muchas otras fuentes más.
Lo destacable de las integraciones es que vienen con configuraciones predeterminadas que funcionan en la mayoría de los casos. Esto significa que puedes empezar a recopilar datos de inmediato sin perder tiempo en configuraciones complejas. Además, tienes la capacidad de personalizar estas integraciones según tus necesidades específicas, lo que te permite definir qué datos recopilar, dónde enviarlos y cómo procesarlos de acuerdo con tus requerimientos individuales.
Veamos un ejemplo práctico con un servidor Windows 2022, en esta ocasión vamos a crear una política y agregarle la integración de Windows para recolectar los registros correspondientes.
- Iniciamos accediendo a Elasticsearch, luego vamos a fleet para crear la política.
2. En Fleet, navegamos hasta “Agent policies” y creamos una política que denominamos “infrasecuritycode”.
3. Aquí tenemos la política que hemos creado.
4. Ahora, procederemos a agregar la integración en la política creada. Como puedes observar, la integración “system” se encuentra automáticamente incluida en la política y está diseñada para recopilar eventos de aplicaciones, sistemas y seguridad en sistemas Windows.
5. En este momento, procederemos a añadir la integración de Windows, específicamente, seleccionaremos “Custom Windows Event Logs”. Esta integración nos permitirá recopilar eventos de cualquier canal de registro de eventos de Windows. En este caso, vamos a recoger los logs o registros del firewall de Windows.
6. Accedemos al servidor y en PowerShell ejecutamos el siguiente comando: Get-WinEvent -ListLog * | Format-List -Property LogName para obtener un listado de los canales de registro de eventos disponibles.
7. Colocamos un nombre a la integración y agregamos el canal “Microsoft-Windows-Windows Firewall With Advanced Security/Firewall”.
8. Procederemos a asignar la política al agente del servidor Windows 2022. En primer lugar, instalamos elastic agent en el servidor utilizando la política que hemos creado, denominada “infrasecuritycode”. Siga los mismos pasos que se describen en el artículo anterior.
Luego de esto, accedemos a la sección “Discover” para visualizar los los o registros recopilados a través de las integraciones “system” y “Custom Windows Event Logs”.
9. Comenzaremos nuestra exploración utilizando los registros recopilados de la integración “system” para identificar eventos de Windows. En esta ocasión, nos enfocaremos en la identificación de los siguientes Evento ID.
Event ID 4624 — cuando se registra el Event ID 4624, significa que se ha iniciado sesión exitosamente en una cuenta. En este ejemplo iniciamos sesión en el servidor de prueba utilizando una cuenta de administrador.
Acá podemos ver los logs
Event ID 4672 — puede detectar inicios de sesión de usuario con privilegios de nivel de administrador.
Event ID 4625 — intento fallido de inicio de sesión.
Acá podemos ver los logs
Event ID 4798: Windows registra este evento cuando un proceso enumera los grupos locales a los que pertenece el usuario especificado en ese equipo. Para este ejemplo ejecutamos en el servidor el comando: net user.
Podemos ver los logs acá
10. Ahora, continuamos con los logs recolectados de la integración “Custom Windows Event Logs”. Para este ejemplo vamos a ver los logs de firewalls de Windows.
Vamos a desactivar el firewall de Windows.
Aquí podemos ver los logs.
Ahora, vamos a volver a habilitarlo
Aquí podemos ver los logs.
¡Listo! Aquí finalizamos.
Espero que este articulo te haya proporcionado valiosas herramientas para el monitoreo efectivo de tu infraestructura y el fortalecimiento de la seguridad de tus sistemas. Al mejorar la gestión de eventos críticos, alcanzarás un mayor control sobre tus sistemas, permitiéndote mantenerlos seguros y operando de manera eficiente con un conocimiento sólido en estos aspectos.
Te invito a estar atento para los futuros contenidos. ¡No te los pierdas!
