Elastic Security：使用云安全态势管理保护您的云资产

了解 Elastic Security 如何通过统一 SIEM、端点和云安全来帮助您保护您的组织。

通过此交互式演示亲身体验 Elastic Security。

在您开始使用 Elastic 的端点安全之前，请确保您已首先设置了 Elastic 的 SIEM 解决方案。 如果您还没有，请查看 SIEM 入门指南。

如果您已经设置了 SIEM，请继续按照以下说明进行操作

部署完成后，在“安全”选项卡下，选择“使用云安全态势 (CSPM) 保护我的云资产”。

选择“云安全态势管理 (CSPM)”后，系统将提示您添加集成，以便能够发现和评估云环境中的服务（例如存储、计算、IAM 等），以便您可以识别和修复配置风险，这些风险可能会损害云中数据的机密性、完整性和可用性。

接下来，您将配置集成。 首先，您将选择要监控的云提供商

• Amazon Web Services (AWS)
• Google Cloud (GCP)

Elastic Security for Cloud CSPM 功能可以配置为在组织级别执行评估以确保全面覆盖，或者在组织内的单个帐户级别执行评估。 请注意，您需要具有针对组织或帐户级别访问权限的适当权限才能完成 CSPM 的设置。 为了进行初始概念验证和入门，我们将选择“单个帐户”。

您还可以为其命名和描述，但这是可选的。

对于设置访问，根据您希望监控的云提供商，Elastic 提供两种选择

• AWS Cloud Formation / Google Cloud Shell：这些选项使用本地基础设施即代码 (IaC) 工具，这些工具可在您的云环境中自动配置基础设施。 使用此选项，只需单击几下，您就可以开始评估云环境的安全态势。
• 手动：手动选项要求您在环境中手动配置用于 CSPM 的基础设施。

在本指南中，我们将自动配置我们的基础设施，因此请选择“AWS Cloud Formation”或“Google Cloud Shell”。

请务必按照“设置访问”中列出的一系列步骤进行操作，其中包括登录到您的云提供商。

完成此操作后，单击“保存并继续”，您将看到一个弹出模态窗口。 在弹出窗口中，您将看到可以启动您首选的本地 IaC 工具，以在您的云中自动配置必要的基础设施。

现在，将打开一个新窗口，带您进入您首选的云提供商的控制台。 要继续并体验在单击“保存并继续”后在 AWS 或 GCP 中启动您首选的 IaC 工具的感觉，请按照此导览进行操作。

配置您的基础设施将需要几分钟时间。 当必要的基础设施和权限正在配置时，如果您导航回您添加云安全态势管理 (CSPM) 集成的 Elastic Cloud 控制台，您将看到一个“添加代理”弹出窗口。

在您的云中配置了所有必要的基础设施后，您将看到 elastic-agent 已注册，并且态势数据正在传入。 在这里，您可以选择“查看资产”。

云态势仪表板汇总了云环境的整体安全态势。

• 您已注册的帐户数量
• 已评估的资源数量
• 失败的发现结果

您的态势得分告诉您整个云环境的安全配置程度。

“发现结果”页面显示 CSPM 集成评估的每个单独资源，以及该资源是通过还是未通过针对其进行的安全配置检查。有关发现结果的详细信息（例如如何对其进行分组和过滤），请查看我们的文档。

您可能希望密切监控某些规则，而不是其他规则。您可以选择该特定规则的发现结果，然后单击右下角的采取措施。然后，单击创建检测规则。

接下来，单击查看规则。

现在，您将看到检测规则及其定义。现在，只要此规则存在失败的发现结果，您就会收到警报。要设置其他操作，请单击规则页面右上角的编辑规则设置。

接下来，您将选择操作。

在这里，您可以设置操作。例如，如果规则失败，您可以设置 Slack 消息、Jira 票证等，以便您收到主动通知以查看失败的发现结果并修复错误配置。要详细了解检测规则，请查看我们的文档。

• 开始使用 SIEM 检测我的数据中的威胁
• 开始使用端点安全保护您的主机
• Elastic 安全实验室
• 威胁搜寻指南
• SIEM 大容量数据源指南