Elastic Security：使用终端安全保护我的主机

Elastic Security 是一个统一的安全解决方案，它将 SIEM、终端和云安全整合到一个平台中。这使得从您环境的所有部分保护、调查和响应安全事件变得更加容易。通过以下视频了解 Elastic Security 如何帮助您保护您的组织

通过此交互式演示亲身体验 Elastic Security。

在开始使用 Elastic Security for Endpoint 之前，请确保您已先设置 Elastic Security for SIEM 解决方案。如果尚未设置，请查看Elastic Security for SIEM 入门指南。

如果您已经设置了 Elastic Security for SIEM，请继续按照以下说明操作

部署完成后，在“安全”选项卡下，选择“使用终端安全保护我的主机”。

如果您还没有使用 Elastic Security for SIEM 安装Elastic Agent和Elastic Defend集成，则需要安装它们。Agent 有数百个开箱即用的集成可用。Elastic Defend是一个终端安全解决方案，它通过深入了解基于主机的活动来提供预防、调查和响应功能。

要了解如何开始使用Elastic Defend和Elastic Agent，只需查看此导览或按照以下说明操作

选择“添加 Elastic Defend”后，系统将提示您在主机上安装Elastic Agent。

只需单击“安装 Elastic Agent”，选择适当的操作系统并运行命令以安装、注册和启动 Elastic Agent。

安装Elastic Agent后，您将看到确认您的代理已成功注册。

接下来，选择“确认传入数据”。默认情况下，Elastic Defend 配置为仅启用事件收集。

继续阅读以了解如何通过在策略中启用终端防御来激活 Elastic 完整的终端检测和响应 (EDR) 体验。

接下来，您将选择“查看资产”。

现在，您将选择“主机”。

现在，您将看到 Elastic Security for Endpoints。接下来，在策略下，选择终端。

要利用完整的终端检测和响应 (EDR) 功能，请从此处开始，沿着右侧，只需在您的策略中启用以下保护

• 恶意软件防护
• 勒索软件防护
• 内存威胁防护
• 恶意行为防护

有关配置 Elastic Defend 策略的更多信息，请查看我们的文档。

然后选择“保存”，您就可以开始探索您的数据了。

让我们开始探索您的环境中正在发生的事情。查看安全相关数据的整体概览，快速调查事件等等。以下文档向您展示了如何使用交互式仪表板和分析工具来探索您的环境。

• 在主机视图中可视化系统数据
• 在网络视图中探索网络数据
• 在时间线中调查事件
• 在分析器视图中探索主机进程
• 从警报运行 Osquery

接下来，激活开箱即用的检测规则

• 管理检测规则
• 设置响应操作
• 事件分析器
• 响应审查

通过基于 ML 的异常检测发现未知威胁，更进一步。此外，通过Elastic Agent的Elastic Defend集成来实现勒索软件和恶意软件防御，从而保护您的主机。

Elastic 是威胁搜寻和事件调查的首选平台。让我们用您的数据来测试一下。使用以下资源执行您自己的调查 - 从初始分类到结案。

• 为 Elastic Agent 安装 Osquery Manager 集成

• 配置终端响应操作

恭喜您开始您的 Elastic Security for Endpoint 之旅。在您开始使用时，请务必查看部署的关键运营、安全和数据注意事项，以确保您充分利用 Elastic。

• 开始使用 SIEM 检测我的数据中的威胁
• 开始使用云安全态势管理来保护您的云资产
• Elastic Security 实验室
• 威胁搜寻指南
• SIEM 大容量数据源指南
• 了解如何优化您的端点