¿Qué es Elastic Agent y cómo funciona?
¿Has escuchado hablar de Elastic Agent? Si te interesa el monitoreo y la gestión eficiente de tus sistemas y dispositivos, estás en el lugar correcto. En este artículo, te proporciono una visión completa de lo que es y cómo funciona. También, te guio a través de sus diferentes facetas, ofreciendo valiosos consejos y mejores prácticas para su implementación efectiva. Además, encontrarás una demostración detallada de cómo configurarlo paso a paso. Ya seas un administrador de sistemas experimentado o un recién llegado al mundo del monitoreo y la seguridad de la infraestructura.
Elastic Agent se ha convertido en una herramienta fundamental para la recolección de logs y métricas, pero esas no son sus únicas funcionalidades. Este agente también ofrece la capacidad de obtener información de sistemas operativos y fortalecer la seguridad de tus dispositivos (Endpoints) frente a posibles amenazas. Además, su gestión se lleva a cabo a través de la aplicación Fleet en Kibana, lo que permite centralizar políticas y agregar eficazmente integraciones con otros servicios mediante un servidor colector.
Si estás comenzando a explorar esta herramienta con el propósito de implementarla, te presento tres aspectos clave a tomar en cuenta:
Identificación de los equipos a monitorear: Primero, es importante saber qué dispositivos remotos deseas monitorear, ya sean firewalls, sistemas de detección y prevención de intrusiones (IDPS), Web Application Firewalls (WAF) u otros dispositivos. Además, debes determinar el protocolo a través del cual puedes recopilar estos logs, por ejemplo, Syslog.
Preparación del equipo de integración o colector: Una vez que sepas qué fuentes de datos deseas monitorear, es necesario contar con un equipo dedicado para instalar Elastic Agent y luego añadirle las integraciones necesarias.
Monitoreo de servidores y endpoints: Si deseas monitorear no sólo dispositivos remotos, sino también servidores o endpoints de tu infraestructura, ya sean sistemas Windows, Linux o MacOS, puedes lograrlo mediante integraciones específicas de las que hablaré más adelante.
Recuerda que es muy importante conocer el entorno de la infraestructura que deseas monitorear y proteger, especialmente si estás en proceso de implementar un SOC. Si ese es tu caso, te animo a que leas este artículo que he escrito al respecto.
A continuación, te muestro un paso a paso para visualizar este proceso de manera práctica.
En esta ocasión, vamos a configurar Elastic Agent en una computadora Mac para recolectar registros (logs).
Empezaremos desde cero creando un pequeño clúster en la nube, y en este caso, lo estableceremos en Elastic Cloud.
- Después de acceder a Elastic Cloud, haz clic en la opción “Create deployment” para continuar.
2. A continuación, ingresa un nombre para el clúster (puedes elegir el nombre que prefieras). En mi caso, opté por nombrarlo “Infrasecuritycode”.
3. Ahora vamos a elegir las capacidades de almacenamiento del clúster para Elasticsearch, Kibana, Integration Server y Enterprise Search. Para fines de pruebas y ejemplos recomendamos utilizar capacidades mínimas.
4. Luego de esto, damos clic en “create deployment” para iniciar el despliegue.
5. En este punto, puedes descargar las credenciales del clúster. ¡Asegúrate de guardar esta información de manera segura!”
6. ¡Perfecto! Hemos completado la creación de nuestro clúster. Ahora, simplemente haz clic en la opción “Continuar”
Ahora, accedemos a Elasticsearch y continuaremos con la instalación de Elastic Agent para monitorear un equipo Mac.
7. Seleccionamos la opción “Fleet” para gestionar la comunicación con los agentes de Elastic.
8. Para continuar, seleccionamos “Add agent”, luego hacemos clic en “Create new agent policy” y dejamos la opción recomendada por Elastic.
9. Aquí, elegimos la opción “Mac” y copiamos los comandos proporcionados.
Ahora, nos dirigimos al equipo Mac en el que deseamos instalar el agente.
10. Abrimos la consola y pegamos los comandos que copiamos en el paso anterior.
11. Luego, introducimos “Y” para aceptar que el agente se instale y se ejecute como servicio. Con esto, la instalación comenzará.
Del lado de Fleet, podemos visualizar el estatus de la instalación del agente.
Como pueden notar, el equipo Mac que integramos en los pasos anteriores, ahora aparece en la lista de Agentes, con el agente instalado y con la política asignada por defecto.
12. Finalmente, nos dirigimos a la sección “Discover”, ¡y ahora podremos visualizar los registros (logs)!
Aquí están los logs.
Hasta aquí hemos explorado los conceptos fundamentales de Elastic Agent. En las próximas entregas, aprenderemos temas relacionados con la creación y asignación de políticas de monitoreo, conceptos necesarios para mejorar tu experiencia con Elastic Agent.
Te invito a estar atento para los futuros contenidos. ¡No te los pierdas!
