112 red seguridad cuarto trimestre 2025 opinión da de Elasticsearch permite realizar búsquedas en segundos sobre petabytes de datos. Esta velocidad es la clave para poder realizar actividades de investigación y threat hunting, ya que el analista puede investigar hipótesis sin la frustración de las largas esperas. 2. Inteligencia Artificial Integrada: Búsqueda vectorial: Elastic soporta la ingesta en formato vectorial y ofrece su propio modelo LLM, ELSER, para la búsqueda semántica. Esto significa que la plataforma puede buscar y correlacionar eventos basados en el contexto y el significado del dato, no solo por palabras clave exactas. Integración sencilla con IA externa: La arquitectura permite una integración sencilla con LLMs propias (on-prem) o de terceros, como Gemini (Google) o GPT (OpenAI), utilizando las APIs para enriquecer los datos o generar resúmenes de incidentes de forma contextualizada. 3. EDR completo (Enterprise-Grade): Elastic no solo proporciona las capacidades deseadas para una plataforma de monitorización y detección de seguridad, ya que incluye adicionalmente una plataforma XDR completa. El agente de seguridad nativo (Elastic Defend) proporciona capacidades EDR (prevención de malware, respuesta en el endpoint), análisis de red (NDR) y análisis de protección de entornos cloud (CSPM) que se correlacionan en la misma consola donde se analizan los logs de SIEM. Facilitando la migración Reconociendo el desafío de mover datos y reglas de un SIEM tradicional, Elastic ha invertido en herramientas que permiten simplificar el proceso: Capacidad de migración automática: Elastic ha desarrollado herramientas como Automatic Migration para simplificar la transición desde plataformas SIEM tradicionales. Esto ayuda a trasladar configuraciones, parsers y reglas históricas, reduciendo drásticamente el esfuerzo manual de la migración o el tiempo de inactividad. Soporte de log sources: Elastic puede ingerir y normalizar datos que antes alimentaban al SIEM tradicional, garantizando una paridad en la cobertura desde el primer momento. Un ejemplo Observe la siguiente imagen, que ilustra una detección de seguridad básica pero crítica en un entorno Elastic Security de un cliente real: La imagen muestra una actividad del usuario santiago.hernandez@xxxxxxxx. com con dos eventos en un lapso de menos de diez minutos: 07:35:17: Inicio de sesión desde España. 07:25:19: Inicio de sesión desde Rusia. Reflexión: esta es la quintaesencia de una detección de riesgo de viaje imposible (imposible traveller) o cuenta comprometida. Si en SIEM tradicional se requiere un gran esfuerzo para la creación reglas y su operación, parsers complejos y licencias adicionales para lograr una detección tan sencilla y gráfica basada en geolocalización, debemos reflexionar sobre la simplicidad y la potencia que Elastic aporta de forma nativa. “Qué fácil se hace todo con Elastic, y pensar que en años de operación con SIEM tradicionales aún no habíamos avanzado en tener una detección tan sencilla por geolocalización como la mostrada en la imagen da para reflexionar”, S.B., analista de seguridad de Nologin Consulting. Conclusión Tanto el fin de soporte de algún SIEM tradicional como el planteamiento de migración progresiva de las plataformas de detección a entornos cloud, están generando en la actualidad situaciones no deseables, que van desde el proceso de toma de decisión para realizar una migración de tecnología a la incomodidad de que los datos de seguridad estén en entornos cloud. En lugar de que estas circunstancias deban afrontarse como una crisis, debe entenderse como una oportunidad que pueda ser utilizada como catalizador de los procesos de modernización en el ámbito de la ciberseguridad. La migración a Elastic Security es un movimiento estratégico para garantizar que la infraestructura de seguridad esté preparada para el volumen y la sofisticación de las amenazas del mañana. Al ofrecer velocidad de búsqueda insuperable, detección basada en IA (con ingesta vectorial), EDR nativo y herramientas de migración automática, Elastic Security no solo es capaz de reemplazar a un SIEM tradicional; sino que dota a los equipos de seguridad de las capacidades para operar en la era de la IA con la máxima eficiencia y visibilidad.
RkJQdWJsaXNoZXIy MTI4MzQz