« 入门:使用连接器客户端将数据同步到 Elasticsearch 入门:使用 Elastic Security 的端点威胁情报保护主机 »
Elastic 文档 从 Elasticsearch 平台及其解决方案开始 [8.14] 开始使用您的用例

入门:使用 Elastic Security 进行 SIEM

edit

入门:使用 Elastic Security 进行 SIEMedit

Elastic Security 将 Elastic SIEM(其检测引擎自动执行威胁检测,以便您可以快速调查并响应威胁)和端点安全结合到一个解决方案中,该解决方案统一了整个网络的预防、检测和响应。

本教程将引导您完成设置集成的步骤,以便您可以从主机收集数据。首先,您将向代理策略添加网络数据包捕获集成,然后您将在主机上部署 Elastic Agent 以收集网络数据包捕获数据。Elastic 的集成不仅提供了一种轻松添加新数据源的方法,而且还包含内置的资产,如仪表板、可视化和管道,以提取特定数据。

以下示例将引导您完成添加 网络数据包捕获集成 的步骤,该集成显示主机上网络连接的流量信息。

先决条件edit

要开始使用,您只需要一个互联网连接、一个电子邮件地址以及您想要捕获一些网络数据包数据的本地或虚拟机。

步骤 1:创建 Elastic Cloud 部署edit

如果您已经注册了试用版部署,您可以跳过此步骤。

Elastic Cloud 部署为您提供 Elastic Stack 的所有功能,作为托管服务。要试用您的第一个部署,请注册免费的 Elastic Cloud 试用版

  1. 访问我们的 Elastic Cloud 试用版 页面。

  2. 输入您的电子邮件地址和密码。

    Start your free Elastic Cloud trial

  3. 完成 登录 后,您可以创建部署。为您的部署命名,然后选择 创建部署

    Create your first deployment
  4. 在部署设置过程中,记下您的 elastic 超级用户密码并将其保存在安全的地方。
  5. 部署准备就绪后,选择 继续。此时,您可以访问 Kibana 和一系列设置指南。

您的部署包含一个预配置的 Fleet Server 实例,该实例管理您可以用来监控主机系统的 Elastic Agent。

步骤 2:在您的机器上添加网络数据包捕获集成edit

  1. 登录到您的云部署,这将带您进入 Kibana 的 主页。您始终可以通过点击 Elastic 图标返回主页。

  2. 点击 添加集成

    home page
  3. 在搜索栏中,输入 网络数据包,然后选择 网络数据包捕获 集成。
  4. 点击 添加网络数据包捕获

  5. 使用以下详细信息配置集成

    1. 集成名称: 为集成命名。
    2. 描述: 输入集成的简要描述。
    3. 新的代理策略名称: 由于您将创建一个新的代理策略,请输入一个名称来标识它。确保您保留了 收集系统日志和指标 选项。

    4. 点击 保存并继续 继续。此步骤需要一两分钟才能完成。

      add integration
    5. 在显示的以下对话框中,点击 将 Elastic Agent 添加到您的主机。将显示 添加代理 浮动窗口。

步骤 3:在您的机器上安装 Elastic Agentedit

此集成由 Elastic Agent 提供支持,Elastic Agent 是一种统一的单一方法,用于将日志、指标和其他类型的监控数据添加到主机。它还可以保护主机免受安全威胁,查询操作系统中的数据等等。单个代理简化并加速了在整个基础设施中部署监控的过程。每个代理都具有单个策略(一组配置设置),您可以更新这些策略以添加新的数据源集成、安全保护等等。

添加代理 浮动窗口包含两个选项卡:在 Fleet 中注册独立运行。默认情况下,代理将在 Fleet 中注册,因为这通过在 Kibana 中提供一个集中式管理工具,减少了管理主机的管理员的工作量。

  1. 跳过 选择注册令牌 步骤,但请注意,注册令牌特定于您刚刚创建的代理策略。当您运行命令来注册代理时,注册令牌将包含在内。
  2. 按照 在您的主机上安装 Elastic Agent 步骤,下载、安装和注册主机上的 Elastic Agent。

  3. 大约一分钟后,您的代理将向服务器注册、下载您刚刚创建的策略中指定的配置,并开始收集数据。关闭 添加代理 浮动窗口。

    install agent

    为了确保您的主机已添加,从左侧主要导航菜单中,转到 安全 → 主机,然后确认您的主机名是否出现在所有主机列表中。

步骤 4:查看您的数据edit

添加 Elastic Agent 后,集成安装就完成了,您现在可以查看数据。

  1. 从左侧主要导航菜单中,转到 管理 → 集成,然后选择 已安装的集成 选项卡。
  2. 选择 网络数据包捕获,然后选择 资产 选项卡。

每个集成的资产按仪表板、保存的搜索和可视化进行分类。展开每个类别,然后选择一个选项以查看特定数据。下图显示了网络数据包捕获 DNS 概述仪表板,该仪表板提供了 DNS 请求和响应指标的直观概述。

network overview

步骤 5:清理edit

您现在已经了解了如何设置 Elastic Cloud 部署并将数据从主机系统导入。如果您想要从系统中删除 Elastic Agent,请从其运行的目录中运行 uninstall 命令,然后按照提示操作。

您必须以 root 用户身份运行此命令。

sudo /Library/Elastic/Agent/elastic-agent uninstall

如果您遇到任何问题,请参考 从边缘主机卸载 Elastic Agent 以获取更多信息。

下一步是什么?edit

  • 如果您更喜欢视频教程,请查看 Elastic Security 快速入门Elastic Security 操作方法系列,了解如何开始使用 Elastic Security。
  • 准备好监控您的网络是否有可疑活动了吗?创建规则,您可以根据自己的特定需求对其进行自定义。
  • 了解如何 对警报进行分类,这些警报是在满足这些规则条件后生成的。
  • 如果您想要阻止恶意软件、勒索软件和其他高级威胁,请查看我们的另一个 入门指南,该指南向您展示如何安装端点安全集成,以便您不仅可以检测威胁,还可以防止威胁在造成损害和损失之前发生。
« 入门:使用连接器客户端将数据同步到 Elasticsearch 入门:使用 Elastic Security 的端点威胁情报保护主机 »