Implantando Elasticsearch, Kibana e Elastic Agent com Docker para Laboratórios de Cibersegurança
Aprenda como implantar rapidamente o Elasticsearch, Kibana e Elastic Agent com Docker em ambientes de cibersegurança usando o projeto oficial Elastic Container Project da Elastic Security Labs. Este guia passo a passo é ideal para analistas de segurança, times Blue Team e entusiastas que desejam montar um SIEM leve e funcional em poucos minutos.
Roberto
1. Preparando o Sistema Host (Oracle Linux 9)
Remover pacotes antigos ou conflitantes
Antes de instalar o Docker, é importante limpar qualquer software de conteinerização que possa conflitar:
2. Instalando o Docker
Instalar plugins do DNF
sudo dnf -y install dnf-plugins-core
Importar GPG e adicionar repositório do Docker
wget https://download.docker.com/linux/rhel/gpg sudo rpm --import gpg sudo dnf config-manager --add-repo https://download.docker.com/linux/rhel/docker-ce.repo
Instalar o Docker e plugins adicionais
sudo dnf install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
Ativar e iniciar o serviço Docker
sudo systemctl enable --now docker
Testar o Docker
docker run hello-world
3. Instalando ferramentas adicionais
sudo dnf install curl jq git
Essas ferramentas são usadas para baixar arquivos, manipular dados JSON e clonar o repositório do projeto.
4. Clonar o repositório Elastic Container Project
```git clone https://github.com/peasead/elastic-container.git cd elastic-container/```
5. Configurar variáveis de ambiente
Edite o arquivo .env:
vim .env
Exemplo de configuração:
LOCAL_KBN_URL=https://10.0.0.160:5601 LOCAL_ES_URL=https://10.0.0.160:9200 ELASTIC_PASSWORD=P@ssw0rd KIBANA_PASSWORD=P@ssw0rd LinuxDR=1 WindowsDR=1 MacOSDR=0 CLUSTER_NAME=elk-docker LICENSE=trial MEM_LIMIT=4294967296
Dica de Cibersegurança: Habilitar as regras de detecção para sistemas operacionais permite o uso imediato de regras baseadas na pesquisa da Elastic Security.
6. Iniciar os containers
bash elastic-container.sh start
Esse script irá:
Baixar as imagens Docker necessárias
Criar volumes
Configurar certificados SSL
Iniciar Elasticsearch, Kibana e Fleet Server
7. Validar os serviços ativos
docker ps
Verifique se os containers elasticsearch, kibana e fleet-server estão em execução.
8. Acessar o Kibana
Abra seu navegador em:
https://<seu-ip>:5601
Faça login com o usuário e senha definidos no arquivo .env.
9. Funcionalidades de segurança ativadas
Regras de detecção pré-configuradas estão ativadas automaticamente.
A gestão de agentes e policies via Fleet está disponível.
O modo trial garante acesso a recursos de detecção avançada, machine learning, e resposta.
Nota: O cluster pode aparecer com status amarelo (Yellow) por estar em modo single-node. Isso não afeta ambientes de teste.
10. Instalar Elastic Agents nos endpoints
Acesse: Fleet > Agents
Crie uma nova Agent Policy (ex: Windows com integrações System e Windows)
Siga as instruções para instalar o agente na máquina desejada
Com os agentes instalados, você pode simular ataques, gerar telemetria e testar suas regras de detecção em um ambiente controlado.
Conclusão
Com esse guia, você implantou um ambiente completo com o Elastic Stack voltado para laboratórios de cibersegurança, testes de detecção e POCs de SIEM. Tudo isso, usando Docker e baseado no projeto oficial da Elastic Security Labs.
Referências
Projeto: Elastic Container Project
Repositório: GitHub - peasead/elastic-container
Documentação do Elastic Security: https://www.elastic.co/guide/en/security/current/index.html
Guia oficial do Docker: https://docs.docker.com/engine/install/
📄 Informações do Post
Título: Implantando Elasticsearch, Kibana e Elastic Agent com Docker em Minutos
Autor: Roberto - roberto@h3b.com.br
Criado em: 15 de Março de 2025
Tags: #Cibersegurança, #ElasticStack, #SIEM, #Docker, #SecurityLabs
Visão Geral
No atual cenário dinâmico da segurança cibernética, velocidade e simplicidade são fundamentais para construir ambientes de observação e detecção. Se você está configurando um laboratório rápido, testando novas regras de detecção ou montando um SIEM leve para uma prova de conceito, implantar o Elasticsearch, Kibana e Elastic Agent de forma eficiente é essencial.
É aqui que entra o The Elastic Container Project, desenvolvido pelo time de Security Labs da Elastic. Este projeto aberto fornece uma solução simples e baseada em Docker para levantar um ambiente completo com o Elastic Stack com mínimo esforço — permitindo que equipes de segurança, pesquisadores e analistas se concentrem na detecção e análise, e não na configuração.
Neste guia, vamos conduzi-lo pelas etapas mais fáceis e rápidas para implantar um ambiente funcional com o Elastic Stack usando Docker, baseado no Elastic Container Project. Em poucos minutos, você estará pronto para coletar logs, analisar dados de telemetria e visualizar informações através do Kibana.
sudo dnf remove docker \
docker-client \
docker-client-latest \
docker-common \
docker-latest \
docker-latest-logrotate \
docker-logrotate \
docker-engine \
podman \
runc
sudo dnf remove docker \
docker-client \
docker-client-latest \
docker-common \
docker-latest \
docker-latest-logrotate \
docker-logrotate \
docker-engine \
podman \
runc