Elastic简介
Elastic Stack 是由 Elastic公司开发的一系列产品,核心产品包括Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化。
Elastic主要解决的客户问题是搜索、观测、保护。Elastic Stack为Elastic提供了基础的平台能力,并在此基础上创建了企业搜索、可观测性、安全三个解决方案。
- 企业搜索:基于ElasticSearch,提供了对于网站、应用程序和Workplace中文档的搜索能力。
- 可观测性:对日志、指标、APM 以及运行状态监测数据进行统一分析。
- 安全:通过 XDR、SIEM 和 Endpoint Security 实现对威胁的防御、检测和响应。
Elastic安全方案
简介
Limitless XDR 通过将 SIEM 和 Endpoint Security 功能集于一个平台之上,能够对所有数据进行分析,自动化关键流程,并将原生的 Endpoint Security 功能引入每台主机,实现了现代化的安全运营。在这个专为不限量分析而构建的平台上,通过统一的Elastic Agent即可防御恶意软件和勒索软件、收集数据。
XDR源自于EDR(终端检测和响应)的演变,并试图通过使用“X”(扩展)来囊括调查过程中对不同数据源的需求。Elastic对XDR的定义如下:XDR 实现了安全操作的现代化,能够跨所有数据进行分析,并实现关键流程的自动化,为每台主机带来预防和补救能力。
XDR方案可以从如下维度解读:
- X 表示扩展 (eXtended)
- 无限可见性。丰富的数据接入方式(Elastic Agent、Beats、Logstash等)及一键采集能力,Elastic Common Schema (ECS)数据映射能力。
- 无限数据。PB 级数据搜索能力。
- D 表示检测 (Detection)
- 无限分析。对于安全数据提供了丰富的检测手段,从任意数量数据源的相关性,到应用于多年信息的威胁情报,以及机器学习模型检测异常。
- R 表示响应 (Response)
- 大规模阻止威胁。通过基于主机的行为分析和跨环境 ML 来阻止高级威胁。防御每个操作系统上的恶意软件和勒索软件。
发展历史
几个关键的事件:
- 7.2版本发布Elastic SIEM。
- 收购Endgame,并于7.5版本发布Elastic Endpoint Security。
- 7.10版本推出事件查询语言 (EQL) 关联规则和指标匹配规则。
- 7.14版本Elastic Agent正式上线,并推出Limitless XDR方案。
安全方案构成
Limitless XDR主要包含了三部分:
- 使用 SIEM 和安全分析进行深度防御。
- 借助数据集成方案,丰富、便捷的数据摄入方式,实现对整个攻击面的安全分析。
- 使用 Elastic Common Schema (ECS) 启用统一分析。
- 基于仪表盘检测各种数据,提供威胁态势感知能力。
- 丰富的内置规则进行威胁的检测。检测规则与 MITRE ATT&CK® 保持同步。
- 机器学习 ML 和实体分析威胁分析能力增强。
- 威胁响应机制。
- Endpoint Security
- 终端防护:基于Elastic Agent,遏制和调查终端攻击,阻止快速演变的勒索软件和恶意软件。
- 端点安全数据采集,基于内置的安全规则,实现终端探测与响应。
- Cloud Security
Elastic Security使用体验
Ingest Data
数据摄入在安全领域是非常关键的一环,要想进行深入的安全分析必须能够快速接入各种安全数据。然而安全数据往往具有来源众多、格式不一的特点,很难有单一的工具完全适配全部的数据采集。解决安全数据摄入主要从如下几个维度考虑:
- 丰富的数据摄入工具:解决数据来源多的问题。
- Elastic Agent:一个兼具可观测性和安全的单个一体化采集器。
- Beats:Elastic Stack中的采集端。
- 第三方采集工具接入。
- 一键式数据集成方案:解决数据接入复杂的问题。
- 目前Integrations已经支持了100多种数据源的接入。支持与Elastic Agent、Beats等多种工具的集成。
- Elastic Agent与Fleet配合实现全局管控。
- 集成方案采集到的数据支持内置报表,开箱即用。
- Endpoint Security集成:用于保护主机免受恶意软件攻击。
- 支持恶意软件防护、勒索软件防护、内存威胁防护、恶意行为防护、安全事件采集等功能的一键开启。
- 统一的数据格式:解决多数据源格式不统一的问题。
- 通过Elastic Security ECS( Elastic Common Schema ) fileld约定了主机、网络、外部安全事件等字段格式。
Elastic Security Overview
概述页面提供了探测告警、外部告警和事件趋势视图,有助于整体评估系统健康状况。
主机、网络的来源汇总统计。
安全视图
Beats安全数据导入详情。
主机安全视图
主机安全页面提供所有主机和主机相关安全事件的全面概述。主要包含:
- 核心指标。包括监控主机数趋势、用户鉴权、Unique IPs统计。
- 详细报表
- 主机详情
- 用户鉴权行为及趋势
- 主机上Uncommon processes的行为
- 机器学习任务监控到的异常
- 所有的主机事件
- 对接的外部监控系统触发的告警
- 主机详情页,可以查看该主机的详细信息。
网络安全视图
网络安全视图通过交互式地图展示关键网络活动的行为。
威胁探测与告警
Elastic Security定期扫描安全数据索引(例如auditbeat-*、logs-endpoint.events.*等)以检测可疑事件,当满足相应规则时则会创建告警。目前已有600多条内置检测,包括主机安全(进程、文件等)、网络安全、云上安全等。
所有触发的告警在Alerts页可以全局查看,可以对产生对告警进行确认、关闭操作,也可以创建安全事故分析案例(Case)用于后续的跟踪。
用户也可以根据自己的业务特点自建规则。
- Custom query:基于查询的规则。
- 机器学习:基于机器学习作业触发的规则。
- 阈值:搜索定义的索引并在指定字段的值出现的次数达到阈值时创建告警的规则。
- Event correlation:基于事件查询语言 (EQL) 查询匹配的规则。
- Indicator match
这里重点提下Event correlation规则,他是基于EQL(Event Query Language)实现的规则。EQL提供了一个Sequence 结构,实现了基于事件序列的查询。例如,我们认为以下的SSH登陆行为是异常的。
root 用户密码输错 1 次
root 用户密码输错 2 次
root 用户密码输入正确,成功登录
可以通过如下的EQL语句来表达:
sequence by host.name, source.ip, user.name with maxspan=15s
[authentication where event.outcome == "failure"]
[authentication where event.outcome == "failure"]
[authentication where event.outcome == "success"]
调查
可以使用时间线来调查安全事件,并使用Case来跟踪安全问题。
时间线是人工安全事件巡检分析的入口,利用它在一个界面中执行分析和搜索操作,它默认使用来自所有数据源的事件。
端点管理
所有运行Endpoint Security integration端点的全局管理视图,可以进行状态查看、Policy管理等操作。
Elastic Security主机隔离功能,对于响应恶意活动或防止潜在攻击,可以将异常主机与网络隔离,阻止与网络上其他主机的通信,直到主机被释放。
参考文档
Elastic Security:免费开源的 Limitless XDR
Limitless XDR 定义了:自由地采集、保留和分析安全数据
What’s new in Elastic Security 7.12: Leave threats nowhere to hide
Elastic 安全 7.13 新功能:让分析师掌握至关重要的上下文
Elastic 7.14.0 版推出业界首个免费开放的 Limitless XDR
What’s new in Elastic Security 7.14: Protect your company with Limitless XDR
What’s new in Elastic Security 7.15: End threats at the endpoint…and beyond
7.16发布:Elastic Search Platform(包括 Elasticsearch 和 Kibana)及其三个内置解决方案(Elastic 企业搜索、Elastic 可观测性和 Elastic 安全)
Elastic Security 7.16: Accelerate SecOps with the most powerful Elastic Security yet
