将数据摄取到 Elastic Security
编辑将数据摄取到 Elastic Security编辑
要摄取数据,您可以使用
- 带有 Elastic Defend 集成的 Elastic Agent,它可以保护您的主机并将日志、指标和端点安全数据发送到 Elastic Security。请参阅 安装和配置 Elastic Defend 集成。
- 带有集成的 Elastic Agent,这些集成可在 Elastic 包注册表 (EPR) 中找到。要安装可与 Elastic Security 配合使用的集成,请转到 Kibana 主页或主导航菜单,然后单击 添加集成。在“集成”页面上,单击 安全 类别过滤器,然后选择要查看其安装说明的集成。有关集成的更多信息,请参阅 集成。
- Beats 收集器,为要监控的每个系统安装。
- Elastic Agent,用于将 Splunk 中的数据发送到 Elastic Security。请参阅 Splunk 数据入门。
- 配置为传送 ECS 兼容数据的第三方收集器。Elastic Security ECS 字段参考 提供了 Elastic Security 中使用的 ECS 字段列表。
如果您使用第三方收集器将数据传送至 Elastic Security,则必须将其字段映射到 Elastic 通用架构 (ECS)。此外,您必须将其索引添加到 Elastic Security 索引(打开主菜单,然后转到 堆栈管理 → 高级设置 → securitySolution:defaultIndex)。
Elastic Security 使用 host.name ECS 字段作为标识主机的密钥。
带有 Elastic Defend 集成 的 Elastic Agent 传送以下数据源
- 进程 - Linux、macOS、Windows
- 网络 - Linux、macOS、Windows
- 文件 - Linux、macOS、Windows
- DNS - Windows
- 注册表 - Windows
- DLL 和驱动程序加载 - Windows
- 安全 - Windows
安装 Beats 收集器编辑
要添加主机并使用网络安全事件填充 Elastic Security,您需要在要从中摄取安全事件的主机上安装和配置 Beats
- Filebeat,用于转发和集中日志和文件
- Auditbeat,用于收集安全事件
- Winlogbeat,用于集中 Windows 事件日志
- Packetbeat,用于分析网络活动
您可以使用 Kibana UI 指南安装 Beats,也可以直接从命令行安装。
使用 Kibana UI 指南安装 Beats编辑
添加使用 Beats 的集成时,系统会指导您完成 Beats 安装过程。首先,转到主页,单击 添加集成,然后按照要收集的数据类型的链接进行操作。
在“集成”页面上,您可以选择 仅 Beats 过滤器以仅查看使用 Beats 的集成。
从命令行下载并安装 Beats编辑
要安装 Beats,请参阅以下安装指南
启用模块和配置选项编辑
无论您如何安装 Beats,都需要在 Auditbeat 和 Filebeat 中启用模块,才能使用数据填充 Elastic Security。
有关安全相关 Beat 模块的完整列表,请 单击此处。
要填充 主机 数据,请启用以下模块
要填充 网络 数据,请启用 Packetbeat 协议和 Filebeat 模块