Corelight
编辑Corelight
编辑Corelight 提供网络检测和响应 (NDR) 解决方案,通过利用 Zeek 等开源技术来增强可见性、威胁检测和事件响应。其平台与现有安全工具集成,以提供高保真网络数据,帮助组织更有效地检测和响应本地和云环境中的威胁。
此集成仅包含以下提到的 Corelight 仪表板
- 安全态势
- 远程活动见解
- 名称解析见解
- 安全通道见解
先决条件
编辑添加 ECS 映射:首先从 Corelight GitHub 组织添加 ECS(Elastic Common Schema)映射。你可以在这里找到所需的模板:Corelight ECS 模板。存储库中的脚本安装必要的组件,包括索引设置、索引模板、ILM 策略和摄取管道等。这些组件将确保 Corelight 数据正确格式化并与 Elastic 的架构对齐。
将数据从 Corelight 发送到 Elastic:在 ECS 映射就位后,在“传感器”>“导出”>“导出到 Elastic”下的 Web 界面中配置 Elasticsearch。它将需要以下参数
- 服务器: HTTP 或 HTTPS URL(包括端口)。
- 前缀: Elasticsearch 索引、别名和模板前缀(例如 logs-corelight-*)。
- 用户名: 用于向 Elasticsearch 身份验证的用户名。
- 密码: 用于向 Elasticsearch 身份验证的密码。
- 要排除的 Zeek 日志: 你不想导出到 Elasticsearch 的日志。如果为空,传感器将导出所有日志类型。
- Elasticsearch 日志过滤器: 使用 Corelight 过滤语言排除的日志。
使用索引前缀名称 (logs-*) 而不是自定义索引前缀。
设置
编辑在 Elastic 中启用集成
编辑- 在 Kibana 中导航到“管理”>“集成”。
- 在顶部的“搜索集成”栏中,搜索
Corelight。 - 从搜索结果中选择“Corelight”集成。
- 导航到“设置”。
- 选择“安装 Corelight 资产”。
- 导航到“资产”以获取仪表板列表。
此集成仅提供仪表板。我们建议定期使用 Corelight 存储库中的脚本检查和更新资产。对于任何映射或解析问题,特别是那些与仪表板无关的问题,我们建议联系 Corelight,因为他们维护这些组件。