Elastic 安全:使用终端安全保护我的主机

概述

Elastic 安全简介

Elastic 安全是一款一体化安全解决方案,它将 SIEM、终端和云安全集成到一个平台中。这使得保护、调查和响应来自环境各个部分的安全事件变得更加容易。在下面的视频中了解 Elastic 安全如何帮助您保护您的组织:

Elastic 安全实操练习

通过这个交互式演示,亲自体验 Elastic 安全。


装载数据

创建 Elastic Cloud 帐户

在开始使用适用于终端的 Elastic 安全之前,请确保先设置了 Elastic Security for SIEM 解决方案。如果您还没有设置 SIEM,请查看 Elastic Security for SIEM 入门指南。

如果您已经设置了 Elastic Security for SIEM,请继续按照以下说明进行操作:

您的部署准备完毕后,在安全选项卡下,选择“Secure my hosts with endpoint security”(使用终端安全保护我的主机)。

如果您还没有 Elastic Security for SIEM,则需要安装带有 Elastic Defense 集成的 Elastic Agent。Agent 提供了数百种开箱即用型集成。Elastic Defend 是一个终端安全解决方案,可通过深入了解基于主机的活动来提供防御、调查和响应功能。

要了解如何开始使用 Elastic DefendElastic Agent,请观看此介绍视频或按照下面的说明执行操作:

选择 Add Elastic Defend(添加 Elastic Defend)后,系统会提示您在主机上安装 Elastic Agent

只需单击 Install Elastic Agent(安装 Install Elastic Agent),选择合适的操作系统并运行命令,即可安装、注册和启动 Elastic Agent。

安装了 Elastic Agent 之后,您将看到一条确认消息,告知您的代理已成功注册。

接下来,选择 Confirm incoming data(确认输入数据)。默认情况下,Elastic Defend 配置为仅启用事件收集功能。

请继续阅读,了解如何通过在策略中启用终端预防来激活 Elastic 完整的终端检测和响应 (EDR) 体验。

接下来,您将选择 View Assets(查看资产)。

现在,您将选择 Hosts(主机)。

现在您将看到 Elastic Security for Endpoints。接下来,在策略下,选择该终端。

要利用完整的终端检测和响应 (EDR) 功能,只需从这里开始,沿着右侧,在您的策略中启用以下保护:

  • 恶意软件防护
  • 勒索软件防护
  • 内存威胁防护
  • 恶意行为防护

有关配置 Elastic Defend 策略的更多信息,请查看我们的文档

然后选择 Save(保存),您便可以随时开始探索自己的数据。


使用适用于终端的 Elastic 安全

分析数据

让我们开始了解环境中的所有情况。查看安全相关数据的整体概览,快速调查事件,等等。下面的文档向您展示了如何使用交互式仪表板和分析工具来探索您的环境。

自动保护

接下来,激活开箱即用型检测规则:

通过基于 ML 的异常检测,进一步发现未知威胁。此外,通过 Elastic AgentElastic Defense 集成,实施勒索软件和恶意软件防御,从而保护您的主机

调查和猎捕

Elastic 是威胁猎捕和事件调查的首选平台。让我们用数据来测试一下。从最开始的分类到结束案例,您都可以使用以下资源自行开展调查。

后续步骤

恭喜您开启适用于终端的 Elastic 安全之旅。在您开始使用的过程中,请务必针对部署查看关键的运维、安全和数据注意事项,从而确保您能充分地利用 Elastic。