« 入门:使用 Elastic Security 进行 SIEM 入门:监控您的 Kubernetes 基础设施 »
Elastic 文档 从 Elasticsearch 平台及其解决方案开始 [8.14] 开始使用您的用例

入门:使用 Elastic Security 的端点威胁情报保护主机

编辑

入门:使用 Elastic Security 的端点威胁情报保护主机编辑

超越阻止恶意软件、勒索软件和高级威胁。统一整个生态系统中的检测、预防和响应。

本指南将引导您完成一个简单的端点管理场景,以便您可以学习创建 Elasticsearch 集群、添加数据和在 Kibana 中分析结果的基础知识。要开始,您可以在 Elastic Cloud 中创建一个部署,在该部署中,大多数配置会自动执行。只需几个步骤,您将了解如何实施威胁情报来保护端点,并将安全信息直接馈送到 Elastic Stack 以供查看和监控。

在本教程中,您将部署 Elastic Stack,在您的主机上安装 Elastic Agent 以保护它免受威胁并收集日志和指标,然后可视化收集的信息。

如果您更喜欢视频教程,请查看 Elastic Security 快速入门
Elastic Security 操作指南系列

先决条件编辑

要开始,您只需要一个互联网连接、一个电子邮件地址以及您想要从中收集一些端点事件数据的本地或虚拟机。

步骤 1:创建 Elastic Cloud 部署编辑

如果您已经注册了试用部署,则可以跳过此步骤。

Elastic Cloud 部署为您提供 Elastic Stack 的所有功能,作为托管服务。要试用您的第一个部署,请注册免费的 Elastic Cloud 试用版

  1. 访问我们的 Elastic Cloud 试用版 页面。

  2. 输入您的电子邮件地址和密码。

    Start your free Elastic Cloud trial

  3. 登录 后,您可以创建一个部署。为您的部署命名并选择 创建部署

    Create your first deployment
  4. 在部署设置时,请记下您的 elastic 超级用户密码并将其保存在安全的地方。
  5. 部署准备就绪后,选择 继续。此时,您可以访问 Kibana 和一些设置指南。

您的部署包括一个预先配置的 Fleet Server 实例,该实例管理您可以用来监控主机系统的 Elastic Agent。

步骤 2:添加端点安全集成编辑

Elastic 集成包括从系统收集数据、管理系统以及与外部系统执行操作所需的配置。例如,有一些集成可以收集 MySQL 日志和指标,保护主机免受恶意软件攻击,并在事件报告系统中创建问题。

  1. 转到 Kibana 主页并选择 添加集成

    Kibana home page
  2. 选择 端点安全,然后在下一页选择 添加端点安全

  3. 添加此集成的详细信息

    1. 为集成命名,由于这是一个保护主机的集成,您可以将其命名为 endpoint security
    2. 集成与 Agent 策略相关联。为策略命名,您可能会将此策略应用于特定数据中心中的所有 Linux 主机,并以操作系统和位置对其命名。
    3. Elastic Agent 可以保护您的主机并同时收集日志和指标。确保已启用 收集系统日志和指标

    4. 选择 保存并继续。此步骤需要一两分钟才能完成。

      Configuration page for adding an Endpoint Security integration
  4. 选择 将 Elastic Agent 添加到您的主机,将显示 添加代理 窗口。

步骤 3:在您的机器上安装并运行 Elastic Agent编辑

Elastic Agent 是一种统一的方式,用于将日志、指标和其他类型数据的监控添加到主机。它还可以保护主机免受安全威胁,查询操作系统中的数据等等。单个代理可以轻松快速地跨您的基础设施部署监控。每个代理都有一个唯一的策略(一组输入设置),您可以更新它以添加新的数据源、安全保护等方面的集成。

添加代理 窗口中,有两个选项卡:注册到 Fleet独立运行。默认情况下是将代理注册到 Fleet,因为这通过在 Kibana 中提供集中式管理工具来减少管理主机的个人工作量。

  1. 跳过 选择注册令牌 步骤,但请注意,注册令牌特定于您刚刚创建的 Agent 策略。当您运行命令以将代理注册到 Fleet 时,您将传入注册令牌。
  2. 通过按照 在您的主机上安装 Elastic Agent 步骤,在您的主机上下载、安装并注册 Elastic Agent。

  3. 大约一分钟后,您的代理将向服务器注册,下载您刚刚创建的策略中指定的配置,并开始收集数据。关闭 添加代理 窗口。

    Add agent flyout in Kibana

步骤 4:在 Elastic Security 中查看您的主机编辑

  1. 返回 Kibana 主页(选择 Elastic 徽标)。

  2. 打开 安全

    Solutions on the Kibana home page

  3. 从导航窗格中,打开 概述 页面。在概述页面上,您可能没有任何警报,因此请向下滚动到事件部分,以验证数据是否正在流入。事件可能需要一分钟才能显示,因为当 Elastic Agent 首次注册时,配置将在开始收集之前从服务器复制下来。

    Overview page of the Security solution

  4. 现在,通过返回导航窗格并打开 规则 页面来启用检测规则。您应该根据您组织的资源和需求调整要启用的规则。对于本教程,请选择部分或全部规则,然后选择 批量操作,然后选择 启用

    Contextual menu for enabling detection rules

步骤 5:生成警报编辑

欧洲计算机反病毒研究机构 (EICAR) 提供反恶意软件测试文件。如果您的公司政策允许使用这些文件,请继续执行此步骤。

  1. 导航到 eicar.org 并使用按钮下载反恶意软件测试文件。

  2. eicar_com.zip 下载到您安装了 Elastic Agent 的系统上。

    eicar.org download options

  3. 解压缩测试文件,然后返回 Kibana 中的 安全 > 检测 > 警报 页面。

    Kibana Alerts page

  4. 您应该会收到恶意软件预防警报。通过选择 查看详细信息 箭头按钮获取详细信息。

    View details button on the Alerts page

  5. 要了解事件之前发生了什么,请关闭详细信息弹出窗口并选择 分析事件 立方体按钮。使用放大和缩小按钮,并拖动窗口内容以查看导致检测到恶意软件的原因。例如,如果您正在保护 Ubuntu 端点,您可能会注意到一个名为 file-roller 的进程用于运行 unzip。选择 unzip 将显示时间戳、unzip 二进制文件的路径、进程 ID、用户名以及更多信息。

    Kibana endpoint alert process
    Kibana endpoint alert details

步骤 7:整理编辑

  1. 您现在已经了解了如何设置 Elastic Cloud 部署并将来自主机系统的数据引入以使用威胁情报保护端点。如果您想从系统中删除 Elastic Agent,请从其运行的目录中运行 uninstall 命令,然后按照提示进行操作。

    您必须以 root 用户身份运行此命令。

    sudo /Library/Elastic/Agent/elastic-agent uninstall

    如果您遇到任何问题,请查看 从边缘主机卸载 Elastic Agent 以获取详细的卸载步骤。

  2. 您还可以删除您下载的反恶意软件测试文件。

下一步编辑

了解有关 Elastic Security 的更多信息

了解其他 Elastic 解决方案和功能

  • 想要将搜索添加到您的网站、应用程序或组织数据中?试用 企业搜索
  • 想要 Elastic 代劳?使用机器学习来 检测异常
« 入门:使用 Elastic Security 进行 SIEM 入门:监控您的 Kubernetes 基础设施 »