将数据摄入 Elastic Security
编辑将数据摄入 Elastic Security
编辑要摄入数据,您可以使用
- 带有 Elastic Defend 集成的 Elastic Agent,它可以保护您的主机并将日志、指标和端点安全数据发送到 Elastic Security。请参阅安装 Elastic Defend。
- Elastic Agent 带有集成,这些集成在 Elastic Package Registry (EPR) 中提供。要安装与 Elastic Security 配合使用的集成,请转到 Kibana 主页或导航菜单,然后单击添加集成。在“集成”页面上,单击安全类别过滤器,然后选择一个集成以查看安装说明。有关集成的更多信息,请参阅集成。
- 为要监视的每个系统安装的 Beats 发送器。
- Elastic Agent 用于将数据从 Splunk 发送到 Elastic Security。请参阅开始使用来自 Splunk 的数据。
- 配置为发送符合 ECS 数据的第三方收集器。Elastic Security ECS 字段参考提供了 Elastic Security 中使用的 ECS 字段列表。
如果您使用第三方收集器将数据发送到 Elastic Security,则必须将其字段映射到Elastic Common Schema (ECS)。此外,您必须将其索引添加到 Elastic Security 索引(打开主菜单,然后转到堆栈管理→高级设置→securitySolution:defaultIndex)。
Elastic Security 使用 host.name ECS 字段作为标识主机的主键。
带有 Elastic Defend 集成的 Elastic Agent 发送以下数据源
- 进程 - Linux、macOS、Windows
- 网络 - Linux、macOS、Windows
- 文件 - Linux、macOS、Windows
- DNS - Windows
- 注册表 - Windows
- DLL 和驱动程序加载 - Windows
- 安全 - Windows
安装 Beats 发送器
编辑要添加主机并使用网络安全事件填充 Elastic Security,您需要在要从中摄入安全事件的主机上安装和配置 Beats
- Filebeat 用于转发和集中日志和文件
- Auditbeat 用于收集安全事件
- Winlogbeat 用于集中 Windows 事件日志
- Packetbeat 用于分析网络活动
您可以使用 Kibana UI 指南或直接从命令行安装 Beats。
使用 Kibana UI 指南安装 Beats
编辑当您添加使用 Beats 的集成时,系统会引导您完成 Beats 安装过程。要开始,请转到主页,单击添加集成,然后按照要收集的数据类型的链接进行操作。
在“集成”页面上,您可以选择仅限 Beats过滤器,以仅查看使用 Beats 的集成。
从命令行下载并安装 Beats
编辑要安装 Beats,请参阅这些安装指南
启用模块和配置选项
编辑无论您如何安装 Beats,都需要在 Auditbeat 和 Filebeat 中启用模块才能使用数据填充 Elastic Security。
有关与安全相关的 beat 模块的完整列表,请单击此处。
要填充 主机 数据,请启用以下模块
要填充 网络 数据,请启用 Packetbeat 协议和 Filebeat 模块