将数据导入 Elastic Security
Elastic Stack Serverless Security
要导入数据,您可以使用
- 带有 Elastic Defend 集成的 Elastic Agent,它保护您的主机并将日志、指标和端点安全数据发送到 Elastic Security。请参阅安装 Elastic Defend。
- 带有集成的 Elastic Agent,这些集成在 Elastic Package Registry (EPR) 中可用。要安装与 Elastic Security 配合使用的集成,请转到 Kibana 主页或导航菜单,然后单击 添加集成。在“集成”页面上,单击 安全 类别筛选器,然后选择一个集成以查看安装说明。有关集成的更多信息,请参阅集成。
- 为要监视的每个系统安装的 Beats shipper。
- 使用 Elastic Agent 将数据从 Splunk 发送到 Elastic Security。请参阅开始使用来自 Splunk 的数据。
- 配置为传送符合 ECS 数据的第三方收集器。Elastic Security ECS 字段参考 提供 Elastic Security 中使用的 ECS 字段的列表。
重要提示
如果您使用第三方收集器将数据传送到 Elastic Security,则必须将其字段映射到 Elastic Common Schema (ECS)。此外,您必须将其索引添加到 Elastic Security 索引(更新 securitySolution:defaultIndex 高级设置)。
Elastic Security 使用 host.name ECS 字段作为标识主机的主键。
带有Elastic Defend 集成的 Elastic Agent 传送以下数据源
- 进程 - Linux、macOS、Windows
- 网络 - Linux、macOS、Windows
- 文件 - Linux、macOS、Windows
- DNS - Windows
- 注册表 - Windows
- DLL 和驱动程序加载 - Windows
- 安全 - Windows
要添加主机并使用网络安全事件填充 Elastic Security,您需要在要从中导入安全事件的主机上安装和配置 Beats
- Filebeat 用于转发和集中日志和文件
- Auditbeat 用于收集安全事件
- Winlogbeat 用于集中 Windows 事件日志
- Packetbeat 用于分析网络活动
您可以使用 UI 指南安装 Beats,也可以直接从命令行安装。
当您添加使用 Beats 的集成时,系统会引导您完成 Beats 安装过程。首先,转到 集成 页面(在大多数页面上的工具栏中选择 添加集成),然后按照要收集的数据类型的链接进行操作。
提示
在“集成”页面上,您可以选择 仅 Beats 筛选器以仅查看使用 Beats 的集成。
要安装 Beats,请参阅这些安装指南
无论您如何安装 Beats,您都需要在 Auditbeat 和 Filebeat 中启用模块以使用数据填充 Elastic Security。
提示
有关与安全相关的 beat 模块的完整列表,请单击此处。
要填充 主机 数据,请启用以下模块
Auditbeat 系统模块 - Linux、macOS、Windows:
- 软件包
- 进程
- 登录
- 套接字
- 用户和组
要填充 网络 数据,请启用 Packetbeat 协议和 Filebeat 模块