Elastic Security调研

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000 次 1年
简介: Elastic Stack 是由 Elastic公司开发的一系列产品,核心产品包括Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化。

Elastic简介

Elastic Stack 是由 Elastic公司开发的一系列产品,核心产品包括Elasticsearch、Kibana、Beats 和 Logstash(也称为 ELK Stack)。能够安全可靠地获取任何来源、任何格式的数据,然后实时地对数据进行搜索、分析和可视化。

Elastic主要解决的客户问题是搜索、观测、保护。Elastic Stack为Elastic提供了基础的平台能力,并在此基础上创建了企业搜索、可观测性、安全三个解决方案。

  • 企业搜索:基于ElasticSearch,提供了对于网站、应用程序和Workplace中文档的搜索能力。
  • 可观测性:对日志、指标、APM 以及运行状态监测数据进行统一分析。
  • 安全:通过 XDR、SIEM 和 Endpoint Security 实现对威胁的防御、检测和响应。

Elastic安全方案

简介

Limitless XDR 通过将 SIEM 和 Endpoint Security 功能集于一个平台之上,能够对所有数据进行分析,自动化关键流程,并将原生的 Endpoint Security 功能引入每台主机,实现了现代化的安全运营。在这个专为不限量分析而构建的平台上,通过统一的Elastic Agent即可防御恶意软件和勒索软件、收集数据。

XDR源自于EDR(终端检测和响应)的演变,并试图通过使用“X”(扩展)来囊括调查过程中对不同数据源的需求。Elastic对XDR的定义如下:XDR 实现了安全操作的现代化,能够跨所有数据进行分析,并实现关键流程的自动化,为每台主机带来预防和补救能力。

XDR方案可以从如下维度解读:

  • X 表示扩展 (eXtended)
  • 无限可见性。丰富的数据接入方式(Elastic Agent、Beats、Logstash等)及一键采集能力,Elastic Common Schema (ECS)数据映射能力。
  • 无限数据。PB 级数据搜索能力。
  • D 表示检测 (Detection)
  • 无限分析。对于安全数据提供了丰富的检测手段,从任意数量数据源的相关性,到应用于多年信息的威胁情报,以及机器学习模型检测异常。
  • R 表示响应 (Response)
  • 大规模阻止威胁。通过基于主机的行为分析和跨环境 ML 来阻止高级威胁。防御每个操作系统上的恶意软件和勒索软件。

发展历史

几个关键的事件:


安全方案构成

Limitless XDR主要包含了三部分:

  • 使用 SIEM 和安全分析进行深度防御。
  • 借助数据集成方案,丰富、便捷的数据摄入方式,实现对整个攻击面的安全分析。
  • 使用 Elastic Common Schema (ECS) 启用统一分析。
  • 基于仪表盘检测各种数据,提供威胁态势感知能力。
  • 丰富的内置规则进行威胁的检测。检测规则与 MITRE ATT&CK® 保持同步。
  • 机器学习 ML 和实体分析威胁分析能力增强。
  • 威胁响应机制。
  • Endpoint Security
  • 终端防护:基于Elastic Agent,遏制和调查终端攻击,阻止快速演变的勒索软件和恶意软件。
  • 端点安全数据采集,基于内置的安全规则,实现终端探测与响应。
  • Cloud Security

Elastic Security使用体验

Ingest Data

数据摄入在安全领域是非常关键的一环,要想进行深入的安全分析必须能够快速接入各种安全数据。然而安全数据往往具有来源众多、格式不一的特点,很难有单一的工具完全适配全部的数据采集。解决安全数据摄入主要从如下几个维度考虑:

  • 丰富的数据摄入工具:解决数据来源多的问题。
  • Elastic Agent:一个兼具可观测性和安全的单个一体化采集器。
  • Beats:Elastic Stack中的采集端。
  • 第三方采集工具接入。
  • 一键式数据集成方案:解决数据接入复杂的问题。
  • 目前Integrations已经支持了100多种数据源的接入。支持与Elastic Agent、Beats等多种工具的集成。
  • Elastic Agent与Fleet配合实现全局管控。
  • 集成方案采集到的数据支持内置报表,开箱即用。

  • Endpoint Security集成:用于保护主机免受恶意软件攻击。
  • 支持恶意软件防护、勒索软件防护、内存威胁防护、恶意行为防护、安全事件采集等功能的一键开启。

  • 统一的数据格式:解决多数据源格式不统一的问题。

Elastic Security Overview

概述页面提供了探测告警、外部告警和事件趋势视图,有助于整体评估系统健康状况。

主机、网络的来源汇总统计。

安全视图

Beats安全数据导入详情

主机安全视图

主机安全页面提供所有主机和主机相关安全事件的全面概述。主要包含:

  • 核心指标。包括监控主机数趋势、用户鉴权、Unique IPs统计。
  • 详细报表
  • 主机详情
  • 用户鉴权行为及趋势
  • 主机上Uncommon processes的行为
  • 机器学习任务监控到的异常
  • 所有的主机事件
  • 对接的外部监控系统触发的告警

  • 主机详情页,可以查看该主机的详细信息。

网络安全视图

网络安全视图通过交互式地图展示关键网络活动的行为。

威胁探测与告警

Elastic Security定期扫描安全数据索引(例如auditbeat-*、logs-endpoint.events.*等)以检测可疑事件,当满足相应规则时则会创建告警。目前已有600多条内置检测,包括主机安全(进程、文件等)、网络安全、云上安全等。


所有触发的告警在Alerts页可以全局查看,可以对产生对告警进行确认、关闭操作,也可以创建安全事故分析案例(Case)用于后续的跟踪。

用户也可以根据自己的业务特点自建规则。

  • Custom query:基于查询的规则。
  • 机器学习:基于机器学习作业触发的规则。
  • 阈值:搜索定义的索引并在指定字段的值出现的次数达到阈值时创建告警的规则。
  • Event correlation:基于事件查询语言 (EQL) 查询匹配的规则。
  • Indicator match

这里重点提下Event correlation规则,他是基于EQL(Event Query Language)实现的规则。EQL提供了一个Sequence 结构,实现了基于事件序列的查询。例如,我们认为以下的SSH登陆行为是异常的。

root 用户密码输错 1 次

root 用户密码输错 2 次

root 用户密码输入正确,成功登录

可以通过如下的EQL语句来表达:

sequence by host.name, source.ip, user.name  with maxspan=15s

[authentication where event.outcome == "failure"]

[authentication where event.outcome == "failure"]

[authentication where event.outcome == "success"]

调查

可以使用时间线来调查安全事件,并使用Case来跟踪安全问题。

时间线是人工安全事件巡检分析的入口,利用它在一个界面中执行分析和搜索操作,它默认使用来自所有数据源的事件。

端点管理

所有运行Endpoint Security integration端点的全局管理视图,可以进行状态查看、Policy管理等操作。


Elastic Security主机隔离功能,对于响应恶意活动或防止潜在攻击,可以将异常主机与网络隔离,阻止与网络上其他主机的通信,直到主机被释放。

参考文档

Elastic Security:免费开源的 Limitless XDR

Limitless XDR 定义了:自由地采集、保留和分析安全数据

Elastic SIEM

Endpoint security

Elastic Security Solution

7.12 发布

What’s new in Elastic Security 7.12: Leave threats nowhere to hide

Elastic 安全 7.13 新功能:让分析师掌握至关重要的上下文

Elastic 7.14.0 版推出业界首个免费开放的 Limitless XDR

What’s new in Elastic Security 7.14: Protect your company with Limitless XDR

7.15发布

What’s new in Elastic Security 7.15: End threats at the endpoint…and beyond

7.16发布Elastic Search Platform(包括 Elasticsearch 和 Kibana)及其三个内置解决方案(Elastic 企业搜索Elastic 可观测性Elastic 安全

Elastic Security 7.16: Accelerate SecOps with the most powerful Elastic Security yet

Elastic Security: Building the future of Limitless XDR

相关实践学习
以电商场景为例搭建AI语义搜索应用
本实验旨在通过阿里云Elasticsearch结合阿里云搜索开发工作台AI模型服务,构建一个高效、精准的语义搜索系统,模拟电商场景,深入理解AI搜索技术原理并掌握其实现过程。
ElasticSearch 最新快速入门教程
本课程由千锋教育提供。全文搜索的需求非常大。而开源的解决办法Elasricsearch(Elastic)就是一个非常好的工具。目前是全文搜索引擎的首选。本系列教程由浅入深讲解了在CentOS7系统下如何搭建ElasticSearch,如何使用Kibana实现各种方式的搜索并详细分析了搜索的原理,最后讲解了在Java应用中如何集成ElasticSearch并实现搜索。  
目录
相关文章
|
网络安全
检查使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议
检查使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议
355 0
|
算法 调度 C++
【C/C++ 数据结构 线性表】C/C++中队列的原理与实现:从基础到循环队列
【C/C++ 数据结构 线性表】C/C++中队列的原理与实现:从基础到循环队列
307 0
|
Shell 网络安全 数据安全/隐私保护
Mac OS版的xshell——Mac OS 终端利器iTerm2
Mac OS版的xshell——Mac OS 终端利器iTerm2
15950 1
Mac OS版的xshell——Mac OS 终端利器iTerm2
|
Docker 容器 数据格式
Docker 修改镜像源地址
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_34173549/article/details/80417198 我的Docker 版本为 1.
42095 0
|
缓存 Linux 开发工具
CentOS 7- 配置阿里镜像源
阿里镜像官方地址http://mirrors.aliyun.com/ 1、点击官方提供的相应系统的帮助 :2、查看不同版本的系统操作: 下载源1、安装wget yum install -y wget2、下载CentOS 7的repo文件wget -O /etc/yum.
250685 0
|
9月前
|
机器学习/深度学习 测试技术
LeCun赞转!类Sora模型能否理解物理规律?字节豆包大模型团队系统性研究揭秘
近日,字节跳动豆包大模型团队发布论文,探讨视频生成模型(如类Sora模型)在理解物理规律方面的能力,引起广泛关注并获Yann LeCun点赞。研究通过2D模拟平台测试扩散模型,发现其在分布内表现优异,但在分布外和组合泛化上存在不足,揭示了基于案例的泛化和特征优先级机制。这表明,仅靠视觉数据难以学习到真正的物理规律,未来需引入物理先验知识以提升模型性能。
175 16
|
10月前
|
存储 JSON Java
ELK 圣经:Elasticsearch、Logstash、Kibana 从入门到精通
ELK是一套强大的日志管理和分析工具,广泛应用于日志监控、故障排查、业务分析等场景。本文档将详细介绍ELK的各个组件及其配置方法,帮助读者从零开始掌握ELK的使用。
|
11月前
|
Linux 虚拟化 开发者
一键将CentOs的yum源更换为国内阿里yum源
一键将CentOs的yum源更换为国内阿里yum源
15070 31
|
12月前
|
Web App开发 数据采集 安全
Mac系统安装chromedriver遇到的问题和解决办法
Mac系统安装chromedriver遇到的问题和解决办法
805 1
云端问道5期-基于Hologres轻量高性能OLAP分析陪跑班获奖名单公布啦!
云端问道5期-基于Hologres轻量高性能OLAP分析陪跑班获奖名单公布啦!
484 3