入门指南:使用 Elastic Security for SIEM

编辑

Elastic Security 将 Elastic SIEM(其检测引擎可自动进行威胁检测,以便您快速调查和响应威胁)和 Endpoint Security 合并为一个解决方案,从而统一了整个网络的预防、检测和响应。

本教程将引导您完成集成设置,以便您可以从主机收集数据。首先,您需要将网络数据包捕获集成添加到代理策略,然后在主机上部署 Elastic Agent 来收集网络数据包捕获数据。Elastic 的集成不仅提供了一种添加新数据源的简便方法,还包含内置的资源,如仪表板、可视化和管道,以提取特定的数据。

以下示例演示了如何添加网络数据包捕获集成,该集成显示有关主机网络连接的流量信息。

先决条件

编辑

要开始使用,您只需要一个互联网连接、一个电子邮件地址以及一台您希望从中捕获一些网络数据包数据的本地或虚拟机。

步骤 1:创建 Elastic Cloud 部署

编辑

如果您已经注册了试用部署,则可以跳过此步骤。

Elastic Cloud 部署为您提供了 Elastic Stack 的所有功能,作为托管服务。要试用您的第一个部署,请注册免费的 Elastic Cloud 试用版

  1. 转到我们的Elastic Cloud 试用版页面。
  2. 输入您的电子邮件地址和密码。

    Start your free Elastic Cloud trial
  3. 在您登录后,您可以创建部署。为您的部署命名并选择 创建部署

    Create your first deployment
  4. 在部署设置时,请记下您的 elastic 超级用户密码,并将其保存在安全的地方。
  5. 部署准备就绪后,选择 继续。此时,您可以访问 Kibana 和一系列设置指南。

您的部署包括一个预配置的 Fleet Server 实例,该实例管理 Elastic Agent,您可以使用这些代理来监视主机系统。

步骤 2:在您的计算机上添加网络数据包捕获集成

编辑
  1. 登录到您的云部署,这将带您进入 Kibana 主页。您可以随时单击 Elastic 图标返回主页。
  2. 单击 添加集成

    home page
  3. 在搜索栏中,输入 网络数据包,然后选择 网络数据包捕获 集成。
  4. 单击 添加网络数据包捕获
  5. 使用以下详细信息配置集成

    1. 集成名称:为集成命名。
    2. 描述:输入集成的简短描述。
    3. 新代理策略名称:由于您将创建一个新的代理策略,请输入一个名称来标识它。确保选中 收集系统日志和指标 选项。
    4. 单击 保存并继续 以继续。此步骤需要一两分钟才能完成。

      add integration
    5. 在显示的以下对话框中,单击 将 Elastic Agent 添加到您的主机。将显示 添加代理 弹出窗口。

步骤 3:在您的计算机上安装 Elastic Agent

编辑

此集成由 Elastic Agent 提供支持,这是一种添加日志、指标和其他类型的数据到主机的单一统一方法。它还可以保护主机免受安全威胁、查询操作系统中的数据等。单个代理可以轻松快速地在整个基础架构中部署监视。每个代理都有一个策略(配置设置的集合),您可以更新该策略以添加新数据源、安全保护等集成。

添加代理 弹出窗口有两个选项卡:在 Fleet 中注册独立运行。默认情况下是将代理注册到 Fleet 中,因为这通过在 Kibana 中提供集中式管理工具来减少管理主机的人员的工作量。

  1. 跳过 选择注册令牌 步骤,但请注意,注册令牌特定于您刚创建的代理策略。当您运行命令来注册代理时,将包含注册令牌。
  2. 按照 在您的主机上安装 Elastic Agent 步骤下载、安装和注册主机上的 Elastic Agent。
  3. 大约一分钟后,您的代理将注册到服务器,下载您刚创建的策略中指定的配置,并开始收集数据。关闭 添加代理 弹出窗口。

    install agent

    为了确保您的主机已添加,请从主左侧导航菜单转到 安全 → 主机,然后确认您的主机名出现在所有主机列表中。

步骤 4:查看您的数据

编辑

添加 Elastic Agent 后,集成安装完成,您现在可以查看数据

  1. 从主左侧导航菜单转到 管理 → 集成,然后选择 已安装的集成 选项卡。
  2. 选择 网络数据包捕获,然后选择 资源 选项卡。

每个集成的资源都按仪表板、已保存的搜索和可视化进行分类。展开每个类别并选择一个选项以查看特定数据。下图显示了网络数据包捕获 DNS 概览仪表板,该仪表板提供了 DNS 请求和响应指标的可视化概览。

network overview

步骤 5:清理

编辑

您现在已经学习了如何设置 Elastic Cloud 部署以及如何从主机系统导入数据。如果您想从系统中删除 Elastic Agent,请从它正在运行的目录中运行 uninstall 命令,然后按照提示操作。

您必须以 root 用户身份运行此命令。

sudo /Library/Elastic/Agent/elastic-agent uninstall

如果您遇到任何问题,请参阅 从边缘主机卸载 Elastic Agent 了解更多信息。

下一步是什么?

编辑
  • 如果您喜欢视频教程,请查看 Elastic Security 快速入门Elastic Security 操作指南系列,了解如何开始使用 Elastic Security。
  • 准备好监视您的网络以查找可疑活动了吗?创建一个规则,您可以根据自己的特定需求进行自定义。
  • 了解如何在满足这些规则条件后 分类处理警报
  • 如果您想阻止恶意软件、勒索软件和其他高级威胁,请查看我们的其他入门指南,该指南向您展示了如何安装 Endpoint Security 集成,以便您不仅可以检测威胁,还可以在损害和损失发生之前阻止它们。