« 入门指南:使用连接器客户端将数据同步到 Elasticsearch 入门指南:使用 Elastic Security 的端点威胁情报保护主机 »
Elastic 文档 Elasticsearch 平台及其解决方案入门 [8.16] 开始使用您的用例

入门指南:使用 Elastic Security 进行 SIEM

编辑

入门指南:使用 Elastic Security 进行 SIEM

编辑

Elastic Security 将 Elastic SIEM(其检测引擎可自动执行威胁检测,以便您可以快速调查和响应威胁)和 Endpoint Security 结合到一个解决方案中,该解决方案可在整个网络中统一预防、检测和响应。

本教程将引导您完成设置集成的步骤,以便您可以从主机收集数据。首先,您将网络数据包捕获集成添加到代理策略,然后您将在主机上部署 Elastic Agent 以收集网络数据包捕获数据。Elastic 的集成不仅提供了一种轻松添加新数据源的方法,还包含内置资产,如仪表板、可视化和管道,以提取特定数据。

以下示例将引导您完成添加 网络数据包捕获集成 的步骤,该集成显示有关主机上网络连接的流量信息。

先决条件

编辑

要开始,您只需要互联网连接、电子邮件地址以及您要从中捕获一些网络数据包数据的本地或虚拟机。

步骤 1:创建 Elastic Cloud 部署

编辑

如果您已注册试用部署,则可以跳过此步骤。

Elastic Cloud 部署为您提供 Elastic Stack 的所有功能作为托管服务。要试用您的第一个部署,请注册免费的 Elastic Cloud 试用版

  1. 访问我们的 Elastic Cloud 试用版 页面。

  2. 输入您的电子邮件地址和密码。

    Start your free Elastic Cloud trial

  3. 完成 登录 后,您可以创建部署。为您的部署命名并选择 创建部署

    Create your first deployment
  4. 在部署设置期间,请记下您的 elastic 超级用户密码,并将其保存在安全的地方。
  5. 部署准备就绪后,选择 继续。此时,您可以访问 Kibana 和一系列设置指南。

您的部署包括一个预配置的 Fleet Server 实例,该实例管理您可以用来监控主机系统的 Elastic Agent。

步骤 2:在您的机器上添加网络数据包捕获集成

编辑
  1. 登录您的云部署,这将带您进入 Kibana 主页。您可以随时通过点击 Elastic 图标返回主页。

  2. 点击 添加集成

    home page
  3. 在搜索栏中,输入 网络数据包,然后选择 网络数据包捕获 集成。
  4. 点击 添加网络数据包捕获

  5. 使用以下详细信息配置集成

    1. 集成名称:为集成命名。
    2. 描述:输入集成的简要描述。
    3. 新的代理策略名称:由于您将创建新的代理策略,因此输入一个名称以识别它。确保您保留选中 收集系统日志和指标 选项。

    4. 点击 保存并继续 以继续。此步骤需要一到两分钟才能完成。

      add integration
    5. 在显示的以下对话框中,点击 将 Elastic Agent 添加到您的主机。将显示 添加代理 浮出层。

步骤 3:在您的机器上安装 Elastic Agent

编辑

此集成由 Elastic Agent 提供支持,Elastic Agent 是一种统一的方式,用于将日志、指标和其他类型数据的监控添加到主机。它还可以保护主机免受安全威胁,查询操作系统中的数据,等等。单个代理使您能够轻松快速地在整个基础设施中部署监控。每个代理都有一个单一策略(一组配置设置),您可以更新该策略以添加用于新数据源、安全保护等的集成。

添加代理 浮出层有两个选项卡:在 Fleet 中注册独立运行。默认情况下,会在 Fleet 中注册代理,因为这减少了管理主机人员的工作量,通过在 Kibana 中提供集中式管理工具。

  1. 跳过 选择注册令牌 步骤,但请注意,注册令牌特定于您刚刚创建的代理策略。当您运行注册代理的命令时,将包含注册令牌。
  2. 按照 在您的主机上安装 Elastic Agent 步骤,下载、安装并在您的主机上注册 Elastic Agent。

  3. 大约一分钟后,您的代理将已在服务器上注册,下载您刚刚创建的策略中指定的配置,并开始收集数据。关闭 添加代理 浮出层。

    install agent

    为了确保添加了您的主机,从主左侧导航菜单中,转到 安全 → 主机,然后确认您的主机名是否显示在“所有主机”列表中。

步骤 4:查看您的数据

编辑

添加 Elastic Agent 后,集成安装完成,您现在可以查看数据了

  1. 从主左侧导航菜单中,转到 管理 → 集成,然后选择 已安装的集成 选项卡。
  2. 选择 网络数据包捕获,然后选择 资产 选项卡。

每个集成的资产按仪表板、保存的搜索和可视化进行分类。展开每个类别并选择一个选项以查看特定数据。下图显示了网络数据包捕获 DNS 概览仪表板,该仪表板提供了 DNS 请求和响应指标的可视化概览。

network overview

步骤 5:整理

编辑

您现在已经了解了如何设置 Elastic Cloud 部署并从主机系统引入数据。如果您想从系统中删除 Elastic Agent,请从其运行的目录运行 uninstall 命令,然后按照提示操作。

您必须以 root 用户身份运行此命令。

sudo /Library/Elastic/Agent/elastic-agent uninstall

如果您遇到任何问题,请参阅 从边缘主机卸载 Elastic Agent 以获取更多信息。

下一步是什么?

编辑
  • 如果您更喜欢视频教程,请查看 Elastic Security 快速入门Elastic Security 操作指南系列,了解如何开始使用 Elastic Security。
  • 准备好监控您的网络是否有可疑活动了吗?创建规则,您可以根据自己的特定需求对其进行自定义。
  • 了解如何在满足这些规则条件后生成的 警报进行分类
  • 如果您想阻止恶意软件、勒索软件和其他高级威胁,请查看我们的其他 入门指南,该指南将向您展示如何安装 Endpoint Security 集成,以便您不仅可以检测威胁,还可以防止在造成损害和损失之前阻止它们。
« 入门指南:使用连接器客户端将数据同步到 Elasticsearch 入门指南:使用 Elastic Security 的端点威胁情报保护主机 »