Elastic Security:使用 SIEM 检测和响应威胁
概述
Elastic Security 简介
了解 Elastic Security 如何通过统一 SIEM、端点和云安全来帮助您保护您的组织。
亲身体验 Elastic Security
通过此交互式演示亲身体验 Elastic Security。
让我们开始吧
创建 Elastic Cloud 帐户
开始 14 天的试用。在cloud.elastic.co上创建一个帐户并创建一个部署。
选择一个云提供商,然后选择一个区域。确保选择存储优化或存储优化(密集)的硬件配置文件
打开高级设置以优化您的集群以用于安全用例。
| 层级 | 每个区域的大小 | 可用区 |
|---|---|---|
| 热数据和内容层 | 180GB 存储空间 | 2 个区域 |
| 冻结数据层 | 6.25TB 存储空间 | 1 个区域 |
| 机器学习实例 | 每个区域最少:2GB RAM 每个区域最多:64GB RAM | 1 个区域 |
| Kibana | 2GB RAM | 1 个区域 |
| 集成服务器实例 | 1GB RAM | 1 GB RAM |
选择这些设置后,单击创建部署
部署完成后,在安全选项卡下,选择使用 SIEM 检测数据中的威胁,然后选择开始。
您将进入Elastic Defend的集成概述,它(与系统集成一起)使Elastic Agent能够收集丰富的宿主数据。开始此导览或按照以下说明进行操作
选择添加 Elastic Defend。系统将提示您在主机上安装Elastic Agent。
单击安装 Elastic Agent,选择适当的操作系统,然后运行命令以在您的主机上安装并启动Elastic Agent。
安装Elastic Agent后,页面将确认它已成功注册。
在下一页上,选择确认传入数据按钮。
您将看到传入数据的预览。选择查看资产。
您将看到包含在 Elastic Defend 集成中的资产列表。
从此处,导航到管理并选择集成,您可以在其中发现并安装与其他数据源的集成,以集中到您的 SIEM 中。
使用 Elastic Security
分析您的数据
让我们开始探索您的环境中正在发生的事情。安装Elastic Defend后,您将进入以下页面。展开左上角的菜单,然后导航到安全下的仪表板。
接下来,打开“安全概述”页面以全面了解您的环境。您还可以在主机视图中可视化系统数据,在网络视图中探索网络数据等等。
自动化保护
接下来,激活开箱即用的检测规则
通过基于 ML 的异常检测发现未知威胁,从而更进一步。此外,通过 Elastic Defend 与 Agent 的集成,通过实施勒索软件和恶意软件防护来保护您的主机。后续步骤
恭喜您开启 Elastic Security 之旅。在接下来的日子里,请务必查看关键的 运营、安全和数据 注意事项,以确保您充分利用部署。