« 故障排除 Dev Tools »
Elastic 文档 Kibana 指南 [8.14]

Elastic Security 概述

编辑

Elastic Security 概述编辑

Elastic Security 将 SIEM 威胁检测功能与端点预防和响应功能结合在一个解决方案中。这些分析和保护功能利用 Elasticsearch 的速度和可扩展性,使分析师能够在造成损害和损失之前防御组织免受威胁。

Elastic Security 提供以下安全优势和功能

  • 一个检测引擎,用于识别攻击和系统错误配置
  • 一个用于事件分类和调查的工作区
  • 交互式可视化,用于调查进程关系
  • 内置的案例管理,具有自动操作
  • 使用预构建的机器学习异常作业和检测规则检测无签名攻击

Elastic Security 组件和工作流程编辑

以下图表全面说明了 Elastic Security 工作流程。

workflow

以下是流程及其组件的概述

  • 数据通过 beat 模块和 Elastic Endpoint Security 代理集成 从您的主机发送到 Elasticsearch。此集成提供以下功能:收集事件、检测和阻止 恶意活动 以及工件交付。 Fleet 应用程序用于在您的主机上安装和管理代理和集成。

    Endpoint Security 集成发送以下数据集

    • Windows: 进程、网络、文件、DNS、注册表、DLL 和驱动程序加载、恶意软件安全检测
    • Linux/macOS: 进程、网络、文件
  • Beat 模块: Beats 是轻量级数据发送器。Beat 模块提供了一种从常见来源(例如云和操作系统事件、日志和指标)收集和解析特定数据集的方法。常见的安全相关模块列在 这里

  • Kibana 中的 Elastic Security 应用程序用于管理 检测引擎案例时间线,以及管理运行 Endpoint Security 的主机

    • 检测引擎:通过以下方式自动搜索可疑的主机和网络活动

      • 检测规则: 定期搜索从您的主机发送的数据(Elasticsearch 索引)以查找可疑事件。当发现可疑事件时,会生成检测警报。外部系统(例如 Slack 和电子邮件)可用于在生成警报时发送通知。您可以创建自己的规则并使用我们的 预构建规则
      • 异常: 减少噪音和误报数量。异常与规则相关联,并在满足异常条件时阻止警报。 值列表 包含可用作异常条件一部分的源事件值。在您的主机上安装 Elastic Endpoint Security 后,您可以直接从 Security 应用程序向端点添加恶意软件异常。
      • 机器学习作业: 自动检测主机和网络事件的异常。每个主机都会提供异常评分,这些评分可与检测规则一起使用。
    • 时间线: 用于调查警报和事件的工作区。时间线使用查询和过滤器深入了解与特定事件相关的事件。时间线模板附加到规则,并在调查警报时使用预定义的查询。时间线可以保存并与他人共享,也可以附加到案例。
    • 案例: 一个内部系统,用于直接在 Security 应用程序中打开、跟踪和共享安全问题。案例可以与外部票证系统集成。
    • 管理: 查看和管理运行 Endpoint Security 的主机。

将数据导入 Elastic Security配置和安装 Elastic Endpoint 集成 描述了如何将安全相关数据发送到 Elasticsearch。

有关更多背景信息,请参见

  • Elasticsearch: 一个实时、分布式存储、搜索和分析引擎。Elasticsearch 擅长索引半结构化数据流,例如日志或指标。
  • Kibana: 一个开源分析和可视化平台,旨在与 Elasticsearch 配合使用。您可以使用 Kibana 搜索、查看和交互与存储在 Elasticsearch 索引中的数据。您可以轻松地编译高级数据分析,并在各种图表、表格和地图中可视化您的数据。

与冷层节点的兼容性编辑

冷层是一个 数据层,用于保存仅偶尔访问的时间序列数据。在 Elastic Stack 版本 >=7.11.0 中,Elastic Security 支持以下 Elasticsearch 索引的冷层数据

  • securitySolution:defaultIndex 中指定的索引模式
  • 在检测规则定义中指定的索引模式,指标匹配规则除外
  • 在各种 Elastic Security 应用程序页面上的数据源选择器中指定的索引模式

Elastic Security 不支持以下 Elasticsearch 索引的冷层数据

  • 由 Elastic Security 控制的索引模式,包括信号和列表索引
  • 在指标匹配规则中指定的索引模式

对不支持的索引使用冷层数据可能会导致检测规则超时和整体性能下降。

Elastic Endpoint 自我保护编辑

自我保护意味着 Elastic Endpoint 具有防范可能试图干扰其功能的用户和攻击者的保护措施。此保护功能不断增强,以防止可能试图使用更新、更复杂的策略来干扰 Elastic Endpoint 的攻击者。在 Elastic Endpoint 安装在下面列出的受支持平台上时,默认情况下会启用自我保护。

在以下 64 位 Windows 版本上启用了自我保护

  • Windows 8.1
  • Windows 10
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

以及以下 macOS 版本

  • macOS 10.15 (Catalina)
  • macOS 11 (Big Sur)

其他 Windows 和 macOS 变体(以及所有 Linux 发行版)没有自我保护。

对于 Elastic Stack 版本 >= 7.11.0,自我保护定义了以下权限

  • 用户(即使是管理员/root)不能 删除 Elastic Endpoint 文件(位于 Windows 上的 c:\Program Files\Elastic\Endpoint 和 macOS 上的 /Library/Elastic/Endpoint)。
  • 用户不能 终止 Elastic Endpoint 程序或服务。
  • 管理员/root 用户可以 读取端点的文件。在 Windows 上,读取 Endpoint 文件的最简单方法是启动管理员 cmd.exe 提示符。在 macOS 上,管理员可以使用 sudo 命令。
  • 管理员/root 用户可以 停止 Elastic Agent 的服务。在 Windows 上,运行 sc stop "Elastic Agent" 命令。在 macOS 上,运行 sudo launchctl stop elastic-agent 命令。

与其他 Elastic 产品集成编辑

您可以将 Elastic Security 与其他 Elastic 产品和功能一起使用,以帮助您识别和调查可疑活动

APM 事务数据源编辑

默认情况下,Elastic Security 监控 APM apm-*-transaction* 索引。要添加其他 APM 索引,请更新 securitySolution:defaultIndex 设置中的索引模式(Kibana → 堆栈管理 → 高级设置 → securitySolution:defaultIndex)。

ECS 合规性数据要求编辑

Elastic Common Schema (ECS) 定义了一组用于在 Elasticsearch 中存储事件数据的通用字段。ECS 帮助用户规范化其事件数据,以便更好地分析、可视化和关联其事件中表示的数据。Elastic Security 支持来自任何符合 ECS 的数据源的事件和指标索引数据。

Elastic Security 要求 符合 ECS 的数据。如果您使用第三方数据收集器将数据发送到 Elasticsearch,则必须将数据映射到 ECS。 Elastic Security ECS 字段参考 列出了 Elastic Security 中使用的 ECS 字段。

« 故障排除 Dev Tools »