入门指南:使用 Elastic Security 的端点威胁情报保护主机
编辑入门指南:使用 Elastic Security 的端点威胁情报保护主机
编辑超越阻止恶意软件、勒索软件和高级威胁。在您的整个生态系统中统一检测、预防和响应。
本指南将引导您完成一个简单的端点管理场景,以便您了解创建 Elasticsearch 集群、添加数据以及在 Kibana 中分析结果的基础知识。要开始使用,您可以在 Elastic Cloud 中创建一个部署,其中大多数配置会自动进行。只需几个步骤,您将学习如何实施威胁情报来保护端点,并将安全信息直接馈送到 Elastic Stack 中以进行查看和监控。
在本教程中,您将部署 Elastic Stack,在您的主机上安装 Elastic Agent 以保护它免受威胁并收集日志和指标,然后可视化收集的信息。
如果您更喜欢视频教程,请查看 Elastic Security 快速入门
或者 Elastic Security 操作指南系列。
先决条件
编辑要开始使用,您只需要互联网连接、电子邮件地址和一台本地或虚拟机,您想从中收集一些端点事件数据。
步骤 1:创建 Elastic Cloud 部署
编辑如果您已经注册了试用部署,则可以跳过此步骤。
Elastic Cloud 部署以托管服务的形式为您提供 Elastic Stack 的所有功能。要试用您的第一个部署,请注册免费的 Elastic Cloud 试用版
- 转到我们的 Elastic Cloud 试用页面。
-
输入您的电子邮件地址和密码。
-
在您登录后,您可以创建一个部署。给您的部署命名并选择 创建部署。
- 在部署设置时,请记下您的
elastic
超级用户密码,并将其保存在安全的地方。 - 部署准备就绪后,选择 继续。此时,您可以访问 Kibana 和一系列设置指南。
您的部署包括 Fleet Server 的预配置实例,它管理您可以使用来监视主机系统的 Elastic Agent。
步骤 2:添加端点安全集成
编辑Elastic 集成包括从系统收集数据、管理系统以及使用外部系统执行操作所需的配置。例如,有集成来收集 MySQL 日志和指标、保护主机免受恶意软件的侵害以及在事件报告系统中创建问题。
-
转到 Kibana 主页并选择 添加集成。
- 选择 端点安全,然后在下一页上选择 添加端点安全。
-
添加此集成的详细信息
- 给集成命名——由于这是一个保护主机的集成,您可以将其命名为
端点安全
。 - 集成与代理策略相关联。给策略命名——您可以将此策略应用于特定数据中心中的所有 Linux 主机,并以操作系统和位置命名。
- Elastic Agent 可以同时保护您的主机并收集日志和指标。确保启用 收集系统日志和指标。
-
选择 保存并继续。此步骤需要一到两分钟才能完成。
- 给集成命名——由于这是一个保护主机的集成,您可以将其命名为
- 选择 将 Elastic Agent 添加到您的主机,将显示 添加代理 弹出窗口。
步骤 3:在您的机器上安装并运行 Elastic Agent
编辑Elastic Agent 是一种统一的方式,可以为主机添加日志、指标和其他类型数据的监控。它还可以保护主机免受安全威胁,查询操作系统中的数据等等。单个代理可以轻松快速地在您的基础设施中部署监控。每个代理都有一个策略(输入设置的集合),您可以更新该策略以添加新数据源、安全保护等集成。
添加代理 弹出窗口有两个选项卡:在 Fleet 中注册 和 独立运行。默认是在 Fleet 中注册代理,因为这通过在 Kibana 中提供集中管理工具,减少了管理主机人员的工作量。
- 跳过 选择注册令牌 步骤,但请注意,注册令牌特定于您刚刚创建的代理策略。当您运行命令以使用 Fleet 注册代理时,您将传入注册令牌。
- 通过执行 在您的主机上安装 Elastic Agent 步骤,在您的主机上下载、安装和注册 Elastic Agent。
-
大约一分钟后,您的代理将注册到服务器,下载您刚刚创建的策略中指定的配置,并开始收集数据。关闭 添加代理 弹出窗口。
步骤 4:在 Elastic Security 中查看您的主机
编辑- 返回到 Kibana 主页(选择 Elastic 徽标)。
-
打开 安全。
-
从导航窗格中,打开 概述 页面。在概述页面上,您可能没有任何警报,因此请向下滚动到“事件”部分,以验证数据是否正在流动。事件可能需要一分钟才能显示,因为当 Elastic Agent 首次注册时,配置会从服务器复制下来,然后才会开始收集。
-
现在,通过返回导航窗格并打开 规则 页面来启用检测规则。您应该根据组织的资源和需求来定制您启用的规则。对于本教程,请选择部分或所有规则,然后选择 批量操作,然后选择 启用。
步骤 5:生成警报
编辑欧洲计算机防病毒研究所 (EICAR) 提供反恶意软件测试文件。如果您的公司政策允许使用这些文件,请继续执行此步骤。
- 导航到 eicar.org 并使用按钮下载反恶意软件测试文件。
-
将
eicar_com.zip
下载到您安装 Elastic Agent 的系统上。 -
解压测试文件,然后返回到 Kibana 中的 安全 > 检测 > 警报 页面。
-
您应该会收到恶意软件预防警报。通过选择 查看详细信息 箭头按钮来获取详细信息。
-
要了解事件之前发生了什么,请关闭详细信息弹出窗口,然后选择 分析事件 立方体形状的按钮。使用放大和缩小按钮,并拖动窗口内容,以查看导致检测到恶意软件的原因。例如,如果您正在保护 Ubuntu 端点,您可能会注意到名为
file-roller
的进程用于运行unzip
。选择 unzip 将显示时间戳、unzip 二进制文件的路径、进程 ID、用户名以及更多信息。
步骤 7:清理
编辑-
您现在已经了解了如何设置 Elastic Cloud 部署,并从主机系统中引入数据,以使用威胁情报保护端点。如果您想从系统中删除 Elastic Agent,请从它正在运行的目录中运行
uninstall
命令,然后按照提示操作。您必须以 root 用户身份运行此命令。
sudo /Library/Elastic/Agent/elastic-agent uninstall
您必须以 root 用户身份运行此命令。
sudo /opt/Elastic/Agent/elastic-agent uninstall
以管理员身份打开 PowerShell 提示符(右键单击 PowerShell 图标并选择 以管理员身份运行)。
从 PowerShell 提示符中,运行
C:\"Program Files"\Elastic\Agent\elastic-agent.exe uninstall
如果您遇到任何问题,请查看 从边缘主机卸载 Elastic Agent,了解详细的卸载步骤。
- 如果下载了反恶意软件测试文件,您也可以将其删除。
下一步是什么?
编辑了解有关 Elastic Security 的更多信息
- 查看 操作指南系列:Elastic Security。
- 注册免费的 Elastic Security 基础知识:SIEM 课程。
- 在 文档中了解更多信息。
- 一切都按照您想要的方式工作了吗?通过在您的基础设施中部署 Elastic Agent,将您的代理策略推广到其他主机!
了解有关其他 Elastic 解决方案和功能的信息
- 想要将搜索添加到您的网站、应用程序或组织数据?试试 Enterprise Search。
- 想让 Elastic 完成繁重的工作?使用机器学习来 检测异常。