入门指南:使用 Elastic Security 的端点威胁情报保护主机

编辑

入门指南:使用 Elastic Security 的端点威胁情报保护主机

编辑

超越阻止恶意软件、勒索软件和高级威胁。在您的整个生态系统中统一检测、预防和响应。

本指南将引导您完成一个简单的端点管理场景,以便您了解创建 Elasticsearch 集群、添加数据以及在 Kibana 中分析结果的基础知识。要开始使用,您可以在 Elastic Cloud 中创建一个部署,其中大多数配置会自动进行。只需几个步骤,您将学习如何实施威胁情报来保护端点,并将安全信息直接馈送到 Elastic Stack 中以进行查看和监控。

在本教程中,您将部署 Elastic Stack,在您的主机上安装 Elastic Agent 以保护它免受威胁并收集日志和指标,然后可视化收集的信息。

如果您更喜欢视频教程,请查看 Elastic Security 快速入门
或者 Elastic Security 操作指南系列

先决条件

编辑

要开始使用,您只需要互联网连接、电子邮件地址和一台本地或虚拟机,您想从中收集一些端点事件数据。

步骤 1:创建 Elastic Cloud 部署

编辑

如果您已经注册了试用部署,则可以跳过此步骤。

Elastic Cloud 部署以托管服务的形式为您提供 Elastic Stack 的所有功能。要试用您的第一个部署,请注册免费的 Elastic Cloud 试用版

  1. 转到我们的 Elastic Cloud 试用页面。
  2. 输入您的电子邮件地址和密码。

    Start your free Elastic Cloud trial
  3. 在您登录后,您可以创建一个部署。给您的部署命名并选择 创建部署

    Create your first deployment
  4. 在部署设置时,请记下您的 elastic 超级用户密码,并将其保存在安全的地方。
  5. 部署准备就绪后,选择 继续。此时,您可以访问 Kibana 和一系列设置指南。

您的部署包括 Fleet Server 的预配置实例,它管理您可以使用来监视主机系统的 Elastic Agent。

步骤 2:添加端点安全集成

编辑

Elastic 集成包括从系统收集数据、管理系统以及使用外部系统执行操作所需的配置。例如,有集成来收集 MySQL 日志和指标、保护主机免受恶意软件的侵害以及在事件报告系统中创建问题。

  1. 转到 Kibana 主页并选择 添加集成

    Kibana home page
  2. 选择 端点安全,然后在下一页上选择 添加端点安全
  3. 添加此集成的详细信息

    1. 给集成命名——由于这是一个保护主机的集成,您可以将其命名为 端点安全
    2. 集成与代理策略相关联。给策略命名——您可以将此策略应用于特定数据中心中的所有 Linux 主机,并以操作系统和位置命名。
    3. Elastic Agent 可以同时保护您的主机并收集日志和指标。确保启用 收集系统日志和指标
    4. 选择 保存并继续。此步骤需要一到两分钟才能完成。

      Configuration page for adding an Endpoint Security integration
  4. 选择 将 Elastic Agent 添加到您的主机,将显示 添加代理 弹出窗口。

步骤 3:在您的机器上安装并运行 Elastic Agent

编辑

Elastic Agent 是一种统一的方式,可以为主机添加日志、指标和其他类型数据的监控。它还可以保护主机免受安全威胁,查询操作系统中的数据等等。单个代理可以轻松快速地在您的基础设施中部署监控。每个代理都有一个策略(输入设置的集合),您可以更新该策略以添加新数据源、安全保护等集成。

添加代理 弹出窗口有两个选项卡:在 Fleet 中注册独立运行。默认是在 Fleet 中注册代理,因为这通过在 Kibana 中提供集中管理工具,减少了管理主机人员的工作量。

  1. 跳过 选择注册令牌 步骤,但请注意,注册令牌特定于您刚刚创建的代理策略。当您运行命令以使用 Fleet 注册代理时,您将传入注册令牌。
  2. 通过执行 在您的主机上安装 Elastic Agent 步骤,在您的主机上下载、安装和注册 Elastic Agent。
  3. 大约一分钟后,您的代理将注册到服务器,下载您刚刚创建的策略中指定的配置,并开始收集数据。关闭 添加代理 弹出窗口。

    Add agent flyout in Kibana

步骤 4:在 Elastic Security 中查看您的主机

编辑
  1. 返回到 Kibana 主页(选择 Elastic 徽标)。
  2. 打开 安全

    Solutions on the Kibana home page
  3. 从导航窗格中,打开 概述 页面。在概述页面上,您可能没有任何警报,因此请向下滚动到“事件”部分,以验证数据是否正在流动。事件可能需要一分钟才能显示,因为当 Elastic Agent 首次注册时,配置会从服务器复制下来,然后才会开始收集。

    Overview page of the Security solution
  4. 现在,通过返回导航窗格并打开 规则 页面来启用检测规则。您应该根据组织的资源和需求来定制您启用的规则。对于本教程,请选择部分或所有规则,然后选择 批量操作,然后选择 启用

    Contextual menu for enabling detection rules

步骤 5:生成警报

编辑

欧洲计算机防病毒研究所 (EICAR) 提供反恶意软件测试文件。如果您的公司政策允许使用这些文件,请继续执行此步骤。

  1. 导航到 eicar.org 并使用按钮下载反恶意软件测试文件。
  2. eicar_com.zip 下载到您安装 Elastic Agent 的系统上。

    eicar.org download options
  3. 解压测试文件,然后返回到 Kibana 中的 安全 > 检测 > 警报 页面。

    Kibana Alerts page
  4. 您应该会收到恶意软件预防警报。通过选择 查看详细信息 箭头按钮来获取详细信息。

    View details button on the Alerts page
  5. 要了解事件之前发生了什么,请关闭详细信息弹出窗口,然后选择 分析事件 立方体形状的按钮。使用放大和缩小按钮,并拖动窗口内容,以查看导致检测到恶意软件的原因。例如,如果您正在保护 Ubuntu 端点,您可能会注意到名为 file-roller 的进程用于运行 unzip。选择 unzip 将显示时间戳、unzip 二进制文件的路径、进程 ID、用户名以及更多信息。

    Kibana endpoint alert process
    Kibana endpoint alert details

步骤 7:清理

编辑
  1. 您现在已经了解了如何设置 Elastic Cloud 部署,并从主机系统中引入数据,以使用威胁情报保护端点。如果您想从系统中删除 Elastic Agent,请从它正在运行的目录中运行 uninstall 命令,然后按照提示操作。

    您必须以 root 用户身份运行此命令。

    sudo /Library/Elastic/Agent/elastic-agent uninstall

    如果您遇到任何问题,请查看 从边缘主机卸载 Elastic Agent,了解详细的卸载步骤。

  2. 如果下载了反恶意软件测试文件,您也可以将其删除。

下一步是什么?

编辑

了解有关 Elastic Security 的更多信息

了解有关其他 Elastic 解决方案和功能的信息

  • 想要将搜索添加到您的网站、应用程序或组织数据?试试 Enterprise Search
  • 想让 Elastic 完成繁重的工作?使用机器学习来 检测异常