Elastic Security调研

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
阿里云盘企业版 CDE,企业版用户数5人 500GB空间
简介: Elastic Stack 是由 Elastic公司开发的一系列产品,核心产品包括Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化。

Elastic简介

Elastic Stack 是由 Elastic公司开发的一系列产品,核心产品包括Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化。

Elastic主要解决的客户问题是搜索、观测、保护。Elastic Stack为Elastic提供了基础的平台能力,并在此基础上创建了企业搜索、可观测性、安全三个解决方案。

  • 企业搜索:基于ElasticSearch,提供了对于网站、应用程序和Workplace中文档的搜索能力。
  • 可观测性:对日志、指标、APM 以及运行状态监测数据进行统一分析。
  • 安全:通过 XDR、SIEM 和 Endpoint Security 实现对威胁的防御、检测和响应。

Elastic安全方案

简介

Limitless XDR 通过将 SIEM 和 Endpoint Security 功能集于一个平台之上,能够对所有数据进行分析,自动化关键流程,并将原生的 Endpoint Security 功能引入每台主机,实现了现代化的安全运营。在这个专为不限量分析而构建的平台上,通过统一的Elastic Agent即可防御恶意软件和勒索软件、收集数据。

XDR源自于EDR(终端检测和响应)的演变,并试图通过使用“X”(扩展)来囊括调查过程中对不同数据源的需求。Elastic对XDR的定义如下:XDR 实现了安全操作的现代化,能够跨所有数据进行分析,并实现关键流程的自动化,为每台主机带来预防和补救能力。

XDR方案可以从如下维度解读:

  • X 表示扩展 (eXtended)
  • 无限可见性。丰富的数据接入方式(Elastic Agent、Beats、Logstash等)及一键采集能力,Elastic Common Schema (ECS)数据映射能力。
  • 无限数据。PB 级数据搜索能力。
  • D 表示检测 (Detection)
  • 无限分析。对于安全数据提供了丰富的检测手段,从任意数量数据源的相关性,到应用于多年信息的威胁情报,以及机器学习模型检测异常。
  • R 表示响应 (Response)
  • 大规模阻止威胁。通过基于主机的行为分析和跨环境 ML 来阻止高级威胁。防御每个操作系统上的恶意软件和勒索软件。

发展历史

几个关键的事件:


安全方案构成

Limitless XDR主要包含了三部分:

  • 使用 SIEM 和安全分析进行深度防御。
  • 借助数据集成方案,丰富、便捷的数据摄入方式,实现对整个攻击面的安全分析。
  • 使用 Elastic Common Schema (ECS) 启用统一分析。
  • 基于仪表盘检测各种数据,提供威胁态势感知能力。
  • 丰富的内置规则进行威胁的检测。检测规则与 MITRE ATT&CK® 保持同步。
  • 机器学习 ML 和实体分析威胁分析能力增强。
  • 威胁响应机制。
  • Endpoint Security
  • 终端防护:基于Elastic Agent,遏制和调查终端攻击,阻止快速演变的勒索软件和恶意软件。
  • 端点安全数据采集,基于内置的安全规则,实现终端探测与响应。
  • Cloud Security

Elastic Security使用体验

Ingest Data

数据摄入在安全领域是非常关键的一环,要想进行深入的安全分析必须能够快速接入各种安全数据。然而安全数据往往具有来源众多、格式不一的特点,很难有单一的工具完全适配全部的数据采集。解决安全数据摄入主要从如下几个维度考虑:

  • 丰富的数据摄入工具:解决数据来源多的问题。
  • Elastic Agent:一个兼具可观测性和安全的单个一体化采集器。
  • Beats:Elastic Stack中的采集端。
  • 第三方采集工具接入。
  • 一键式数据集成方案:解决数据接入复杂的问题。
  • 目前Integrations已经支持了100多种数据源的接入。支持与Elastic Agent、Beats等多种工具的集成。
  • Elastic Agent与Fleet配合实现全局管控。
  • 集成方案采集到的数据支持内置报表,开箱即用。

  • Endpoint Security集成:用于保护主机免受恶意软件攻击。
  • 支持恶意软件防护、勒索软件防护、内存威胁防护、恶意行为防护、安全事件采集等功能的一键开启。

  • 统一的数据格式:解决多数据源格式不统一的问题。

Elastic Security Overview

概述页面提供了探测告警、外部告警和事件趋势视图,有助于整体评估系统健康状况。

主机、网络的来源汇总统计。

安全视图

Beats安全数据导入详情

主机安全视图

主机安全页面提供所有主机和主机相关安全事件的全面概述。主要包含:

  • 核心指标。包括监控主机数趋势、用户鉴权、Unique IPs统计。
  • 详细报表
  • 主机详情
  • 用户鉴权行为及趋势
  • 主机上Uncommon processes的行为
  • 机器学习任务监控到的异常
  • 所有的主机事件
  • 对接的外部监控系统触发的告警

  • 主机详情页,可以查看该主机的详细信息。

网络安全视图

网络安全视图通过交互式地图展示关键网络活动的行为。

威胁探测与告警

Elastic Security定期扫描安全数据索引(例如auditbeat-*、logs-endpoint.events.*等)以检测可疑事件,当满足相应规则时则会创建告警。目前已有600多条内置检测,包括主机安全(进程、文件等)、网络安全、云上安全等。


所有触发的告警在Alerts页可以全局查看,可以对产生对告警进行确认、关闭操作,也可以创建安全事故分析案例(Case)用于后续的跟踪。

用户也可以根据自己的业务特点自建规则。

  • Custom query:基于查询的规则。
  • 机器学习:基于机器学习作业触发的规则。
  • 阈值:搜索定义的索引并在指定字段的值出现的次数达到阈值时创建告警的规则。
  • Event correlation:基于事件查询语言 (EQL) 查询匹配的规则。
  • Indicator match

这里重点提下Event correlation规则,他是基于EQL(Event Query Language)实现的规则。EQL提供了一个Sequence 结构,实现了基于事件序列的查询。例如,我们认为以下的SSH登陆行为是异常的。

root 用户密码输错 1 次

root 用户密码输错 2 次

root 用户密码输入正确,成功登录

可以通过如下的EQL语句来表达:

sequence by host.name, source.ip, user.name  with maxspan=15s

[authentication where event.outcome == "failure"]

[authentication where event.outcome == "failure"]

[authentication where event.outcome == "success"]

调查

可以使用时间线来调查安全事件,并使用Case来跟踪安全问题。

时间线是人工安全事件巡检分析的入口,利用它在一个界面中执行分析和搜索操作,它默认使用来自所有数据源的事件。

端点管理

所有运行Endpoint Security integration端点的全局管理视图,可以进行状态查看、Policy管理等操作。


Elastic Security主机隔离功能,对于响应恶意活动或防止潜在攻击,可以将异常主机与网络隔离,阻止与网络上其他主机的通信,直到主机被释放。

参考文档

Elastic Security:免费开源的 Limitless XDR

Limitless XDR 定义了:自由地采集、保留和分析安全数据

Elastic SIEM

Endpoint security

Elastic Security Solution

7.12 发布

What’s new in Elastic Security 7.12: Leave threats nowhere to hide

Elastic 安全 7.13 新功能:让分析师掌握至关重要的上下文

Elastic 7.14.0 版推出业界首个免费开放的 Limitless XDR

What’s new in Elastic Security 7.14: Protect your company with Limitless XDR

7.15发布

What’s new in Elastic Security 7.15: End threats at the endpoint…and beyond

7.16发布Elastic Search Platform(包括 Elasticsearch 和 Kibana)及其三个内置解决方案(Elastic 企业搜索Elastic 可观测性Elastic 安全

Elastic Security 7.16: Accelerate SecOps with the most powerful Elastic Security yet

Elastic Security: Building the future of Limitless XDR

相关实践学习
使用阿里云Elasticsearch体验信息检索加速
通过创建登录阿里云Elasticsearch集群,使用DataWorks将MySQL数据同步至Elasticsearch,体验多条件检索效果,简单展示数据同步和信息检索加速的过程和操作。
ElasticSearch 入门精讲
ElasticSearch是一个开源的、基于Lucene的、分布式、高扩展、高实时的搜索与数据分析引擎。根据DB-Engines的排名显示,Elasticsearch是最受欢迎的企业搜索引擎,其次是Apache Solr(也是基于Lucene)。 ElasticSearch的实现原理主要分为以下几个步骤: 用户将数据提交到Elastic Search 数据库中 通过分词控制器去将对应的语句分词,将其权重和分词结果一并存入数据 当用户搜索数据时候,再根据权重将结果排名、打分 将返回结果呈现给用户 Elasticsearch可以用于搜索各种文档。它提供可扩展的搜索,具有接近实时的搜索,并支持多租户。
烨陌
+关注
目录
打赏
0
0
0
0
580
分享
相关文章
阿里云 Elastic Enterprise 正式上线!
阿里云正式发布Elastic Enterprise 版!欢迎前来体验!
《Elastic(中国)基础开发宝典》——添加免费且开放的 Elastic APM 作为Elastic可观测性部署的一部分(下)
《Elastic(中国)基础开发宝典》——添加免费且开放的 Elastic APM 作为Elastic可观测性部署的一部分(下)
《Elastic(中国)基础开发宝典》——添加免费且开放的 Elastic APM 作为Elastic可观测性部署的一部分(上)
《Elastic(中国)基础开发宝典》——添加免费且开放的 Elastic APM 作为Elastic可观测性部署的一部分(上)
【Elastic Engineering】Elasticsearch 简介
Elasticsearch 是一个非常强大的搜索引擎。
21139 5
【Elastic Engineering】Elasticsearch 简介
【Elastic Engineering】添加免费且开放的 Elastic APM 作为 Elastic 可观测性部署的一部分
什么是 APM? 利用应用程序性能监测,您可以查看应用程序将时间花在哪些地方、在执行哪些操作、在调用哪些其他应用程序或服务,以及遇到了哪些错误或异常情况。
1505 0
【Elastic Engineering】添加免费且开放的 Elastic APM 作为 Elastic 可观测性部署的一部分
【Elastic Engineering】使用 Elastic Stack 来分析奥运数据(二)
这是我的上一篇文章 “使用 Elastic Stack 来分析奥运数据(一)” 的续篇。在上一篇文章中,我详细介绍了如何把数据上传到 Elasticsearch 中。在今天的这篇文章中,我将着重来讲述如何实现针对这个 olympic 索引进行可视化。
238 0
【Elastic Engineering】使用 Elastic Stack 来分析奥运数据(二)
【Elastic Engineering】使用 Elastic Stack 来分析奥运数据(一)
最近冬奥会在中国北京顺利举行。这是一件举国高兴的事。在历届都有许多的奥运数据,我们是否可以使用 Elastic Stack 来分析这些数据,并为我国的体育事业提供一些洞察呢?
294 0
【Elastic Engineering】使用 Elastic Stack 来分析奥运数据(一)
【Elastic Engineering】使用 Elastic Stack 来分析奥运数据(三)
在我们的数据中,虽然我们没有经纬度数据,但是我们发现有一个叫做 NOC 的字段。它代表运动员来自那个国家。在我之前的文章 “Kibana:通过 Elastic Maps 中的全局行政区层为 IP 分析带来新见解”,我展示了如何使用行政区来展示数据。针对我们的奥运情况,我们可以展示一下奥运运动员分别在哪些国家。
205 0
【Elastic Engineering】使用 Elastic Stack 来分析奥运数据(三)
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等