Elastic Serverless en Cloud

Tipo: SIEM / EDR · Entorno: Cloud · Nivel: Intermedio

Despliegue de Elastic Serverless en la nube, configuración de un proyecto SIEM con Security Analytics e instalación del Elastic Agent con módulo EDR completo en endpoints Windows y Linux.

1. Preparación del entorno

Antes de comenzar, preparamos las máquinas virtuales que actuarán como endpoints:

Dos máquinas Ubuntu y una Windows(en mi caso el Host).
Curl instalado en Ubuntu

2. Crear cuenta y proyecto Serverless

Accede a la web de Elastic y crea una cuenta gratuita:

Abre elastic.co y pulsa en "Inicia la prueba gratis".
Puedes registrarte con Google (Sign up with Google). Si necesitas reutilizar la misma cuenta de Google varias veces, regístrate por correo (Sign up with email) usando el formato [email protected].

Proporciona los datos básicos que se solicitan (nombre, empresa, etc.).
En el dashboard principal selecciona "Create Serverless Projects".

Dashboard de Elastic Cloud — Create Serverless Projects

En caso de uso selecciona "Elastic for Security".
En "How will you use Elastic for Security?" elige "SIEM and Security Analytics complete".
Selecciona el cloud y la región más cercana. Pulsa Create y espera a que termine el despliegue.

Configuración del proyecto Serverless — región y tipo

3. Configurar el AI Agent

Una vez creado el proyecto, el asistente de IA de Elastic facilita la configuración inicial:

Arriba a la derecha encontrarás el botón AI Agent. Púlsalo y cuando aparezca el mensaje "Introducing AI Agent", haz clic en Use AI Agent.

Botón AI Agent en el dashboard de Elastic

4. Fleet en entornos Serverless

En un despliegue tradicional (on-premise o cloud gestionado) sería necesario instalar y configurar Fleet manualmente. En un proyecto Serverless esto no es necesario: Fleet ya viene integrado y gestionado por Elastic.

5. Crear una Endpoint Policy

Las políticas de endpoint definen qué información recopila el agente y con qué nivel de protección. Para crearla:

En el menú de la izquierda ve a More → Assets → Endpoint Policies.
La primera vez pedirá que actives Elastic Defend; pulsa ADD.

Sección Endpoint Policies — activar Elastic Defend

6. Crear la integración y configurar EDR

Tras activar Elastic Defend se abre el formulario de nueva integración:

Ponle un nombre descriptivo a la integración.
En las opciones de recolección selecciona "Complete EDR" para obtener visibilidad máxima sobre el endpoint.
Pulsa Save and Continue.

7. Inscribir el Elastic Agent en los endpoints

Después de guardar la integración, Elastic ofrece instalar el agente de inmediato. Como vamos a hacerlo manualmente:

En el pop-up que aparece pulsa "Add Elastic Agent Later".
Ve a Endpoints, en Integraciones selecciona la que acabas de crear y pulsa Enroll Agent.

Vista detallada del proceso Enroll Agent

Se abrirá una columna lateral donde debes seleccionar la arquitectura del equipo destino. Elastic generará el comando de instalación. Cópialo pero no lo ejecutes aún.

Comando de instalación generado por Elastic

8. Instalar el Elastic Agent

Con el comando copiado, accede a los endpoints y sigue estos pasos:

Copia y ejecuta el comando línea por línea. Si lo pegas todo de golpe pueden aparecer caracteres corruptos.
En el último comando añade el parámetro --insecure para evitar errores de certificado en entornos de laboratorio.
Ejecútalo con permisos de administrador (system en Windows o sudo en Linux).

Copiando el comando de instalación línea por línea

Se abrirá un asistente de instalación. Sigue los pasos (siguiente, siguiente…) hasta completar el proceso.

Instalación del Elastic Agent completada

9. Verificar la instalación en Fleet

Una vez instalado, comprobamos que el agente está reportando correctamente:

Assets → Fleet → Agents

Verás el equipo registrado con toda la información recogida por el agente: eventos del sistema enriquecidos con el módulo EDR de Elastic.

Fleet > Agents — equipo registrado con datos del agente

10. Ver eventos en Discover

Para explorar los eventos del endpoint (filtrar por usuario, proceso, tipo de evento, etc.):

Ve a la pestaña Discover y verás en tiempo real los eventos recopilados.

Pestaña Discover con eventos del endpoint

Conclusión

Con este despliegue disponemos de un SIEM en cloud totalmente gestionado (Serverless), con un proyecto de Security Analytics activo y el Elastic Agent instalado con EDR completo en los endpoints.

Este mismo proceso funciona tanto en máquinas Linux como Windows; el único detalle a tener en cuenta es seleccionar la arquitectura correcta al generar el comando de instalación.

Próximos pasos posibles:

Crear reglas de detección personalizadas en el SIEM.
Configurar alertas y notificaciones.
Integrar otras fuentes de logs (firewalls, proxies, etc.).
Explorar los dashboards de seguridad preconfigurados de Elastic.

Volver a Laboratorio SOC.