Elastic Security：使用云安全态势管理保护您的云资产

了解 Elastic Security 如何通过统一 SIEM、端点和云安全来帮助您保护您的组织。

通过此交互式演示亲自体验 Elastic Security。

在开始使用 Elastic 的端点安全之前，请确保您已首先设置 Elastic 的 SIEM 解决方案。如果您还没有，请查看 SIEM 入门指南。

如果您已设置 SIEM，请继续按照以下说明进行操作

一旦您的部署准备就绪，请在“安全”选项卡下，选择“使用云安全态势 (CSPM) 保护我的云资产”。

选择“云安全态势管理 (CSPM)”后，系统会提示您添加集成，该集成可发现和评估您的云环境中的服务，例如存储、计算、IAM 等，以便您可以识别和补救可能破坏云中数据机密性、完整性和可用性的配置风险。

接下来，您将配置集成。首先，您将选择要监视的云提供商

• Amazon Web Services (AWS)
• Google Cloud (GCP)

Elastic Security for Cloud CSPM 功能可以配置为在组织级别执行评估，以确保完全覆盖，或者在组织内的单个帐户级别执行评估。请注意，您需要具有适当的权限，范围应限定为组织或帐户级别的访问权限，才能完成 CSPM 的设置。对于初始概念验证和入门目的，我们将选择“单个帐户”。

您还可以给它命名和描述，但这并非必须。

对于“设置访问”，根据您要监视的云提供商，Elastic 提供两个选项

• AWS Cloud Formation / Google Cloud Shell：这些选项使用原生的基础设施即代码 (IaC) 工具，这些工具会自动在您的云环境中配置基础设施。使用此选项，只需单击几下，您就可以开始评估云环境的安全态势。
• 手动：手动选项要求您手动在您的环境中配置用于 CSPM 的基础设施。

对于本指南，我们将自动配置我们的基础设施，因此请选择 AWS Cloud Formation 或 Google Cloud Shell。

请务必按照“设置访问”中概述的一系列步骤进行操作，其中包括登录您的云提供商。

完成此操作后，单击“保存并继续”，您将看到一个弹出模式窗口。在弹出窗口中，您将看到您可以启动您首选的原生 IaC 工具，以自动在您的云中配置必要的基础设施。

现在，将打开一个新窗口，将您带到您首选的云提供商的控制台。要跟随并体验在单击“保存并继续”后在 AWS 或 GCP 中启动您首选的 IaC 工具是什么样的，请按照此引导式游览进行操作。

配置您的基础设施将需要几分钟时间。当必要的基础设施和权限正在配置时，如果您导航回您添加云安全态势管理 (CSPM) 集成的 Elastic Cloud 控制台，您将看到一个“添加代理”弹出窗口。

一旦您的云中配置了所有必要的基础设施，您将看到 elastic-agent 已注册，并且态势数据正在传入。从这里，您可以选择“查看资产”。

云安全态势仪表板总结了您的云环境的整体安全态势。

• 您已注册的帐户数量
• 已评估的资源数量
• 失败的发现

您的态势得分告诉您您的整体云环境的安全配置程度。

“发现”页面显示了 CSPM 集成评估的每个单独资源，以及该资源是否通过了针对它的安全配置检查。有关发现的更多信息，例如如何对它们进行分组和筛选，请查看我们的文档。

某些规则可能比其他规则更需要密切监控。您可以选择特定规则的发现，然后单击右下角的采取行动。然后单击创建检测规则。

接下来，单击查看规则。

现在，您将看到检测规则及其定义。现在，每当此规则出现失败的发现时，您都会收到警报。要设置其他操作，请单击规则页面右上角的编辑规则设置。

接下来，您将选择操作。

在这里，您可以设置操作。例如，如果规则失败，您可以设置 Slack 消息、Jira 工单等，这样您就可以收到主动通知来审查失败的发现并修复错误配置。要了解有关检测规则的更多信息，请查看我们的文档。

• 开始使用 SIEM 检测我数据中的威胁
• 开始使用端点安全保护您的主机
• Elastic Security Labs
• 威胁狩猎指南
• SIEM 高容量数据源指南