Elastic Security:使用 SIEM 检测和响应威胁
概述
Elastic Security 简介
了解 Elastic Security 如何通过统一 SIEM、端点和云安全来帮助您保护您的组织。
亲自体验 Elastic Security
通过此交互式演示亲自体验 Elastic Security。
让我们开始吧
创建 Elastic Cloud 帐户
开始 14 天的试用期。在 cloud.elastic.co 上创建一个帐户并创建一个部署。
选择一个云提供商,然后选择一个区域。请务必选择存储优化或存储优化(密集)的硬件配置文件
打开高级设置以优化您的集群以用于安全用例。
| 层 | 每个区域的大小 | 可用区 |
|---|---|---|
| 热数据和内容层 | 180GB 存储 | 2 个区域 |
| 冻结数据层 | 6.25TB 存储 | 1 个区域 |
| 机器学习实例 | 每个区域的最小值:2GB RAM 每个区域的最大值:64GB RAM | 1 个区域 |
| Kibana | 2GB RAM | 1 个区域 |
| 集成服务器实例 | 1GB RAM | 1GB RAM |
选择这些设置后,单击创建部署
您的部署准备就绪后,在安全选项卡下,选择使用 SIEM 检测数据中的威胁,然后选择开始。
您将被带到 Elastic Defend 的集成概述,它(与系统集成一起)使 Elastic Agent 能够收集丰富的宿主机数据。开始使用此引导式演示或按照以下说明进行操作
选择添加 Elastic Defend。系统将提示您在主机上安装 Elastic Agent。
单击安装 Elastic Agent,选择相应的操作系统,然后运行命令以在您的主机上安装并启动 Elastic Agent。
安装 Elastic Agent 后,该页面将确认它已成功注册。
在下一页,选择确认传入数据按钮。
您将看到传入数据的预览。选择查看资产。
您将看到 Elastic Defend 集成中包含的资产列表。
从这里导航到管理并选择集成,您可以在其中发现并安装与其他数据源的集成,以便在您的 SIEM 中集中管理。
使用 Elastic Security
分析您的数据
让我们开始探索您的环境中正在发生的事情。安装 Elastic Defend 后,您将被带到下面的页面。展开左上角的菜单并导航到安全下的仪表板。
接下来,打开安全概述页面以全面了解您的环境。您还可以在主机视图中可视化系统数据、在网络视图中浏览网络数据等等。
自动化保护
接下来,激活开箱即用的检测规则
通过使用 基于 ML 的异常检测来发现未知威胁,从而进一步扩展。此外,通过 Elastic Defend 集成(适用于 Agent)实施 勒索软件和恶意软件防护,从而保护您的主机。下一步
恭喜您开始您的 Elastic Security 之旅。在接下来的几天里,请务必查看关键的运营、安全和数据注意事项,以确保您充分利用您的部署。