Elastic Security: Sichern Ihrer Cloud-Assets mit Cloud Security Posture Management

Erfahren Sie, wie Sie Ihre Organisation schützen können, indem Sie SIEM-, Endpoint- und Cloud-Security in Elastic Security vereinheitlichen.

Erleben Sie Elastic Security live in dieser interaktiven Demo.

Bevor Sie sich mit Elastic Endpoint Security vertraut machen, sollten Sie zunächst die SIEM-Lösung von Elastic einrichten. Falls Sie dies noch nicht getan haben, lesen Sie die Einsteigerhilfe zu SIEM.

Falls Sie SIEM bereits eingerichtet haben, fahren Sie mit der folgenden Anleitung fort:

Warten Sie, bis Ihr Deployment bereit ist, und wählen Sie dann auf der Registerkarte Security die Option Secure my cloud assets with cloud security posture (CSPM) aus.

Nachdem Sie Cloud Security Posture Management (CSPM) ausgewählt haben, werden Sie zum Hinzufügen einer Integration aufgefordert, mit der Sie die Dienste in Ihrer Cloud-Umgebung erkennen und bewerten können, wie etwa Speicher, Compute, IAM und mehr. Auf diese Weise können Sie Konfigurationsrisiken identifizieren und beheben, die die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer daten in der Cloud gefährden können.

Als nächstes werden Sie die Integration konfigurieren. Wählen Sie zunächst den Cloud-Anbieter aus, den Sie überwachen möchten:

• Amazon Web Services (AWS)
• Google Cloud (GCP)

Das CSPM-Feature in Elastic Security for Cloud kann für Überprüfungen auf der Organisationsebene konfiguriert werden, um eine vollständige Abdeckung zu gewährleisten, oder auch für einzelne Konten innerhalb einer Organisation. Sie benötigen entsprechende Zugriffsberechtigungen auf Organisations- oder Kontoebene, um die Einrichtung von CSPM abschließen zu können. Als Demonstration für den Einstieg wählen wir Single Account aus.

Optional können Sie auch einen Namen und eine Beschreibung eingeben.

Für die Zugriffseinrichtung bietet Elastic je nach gewünschtem Cloud-Anbieter zwei Optionen an:

• AWS Cloud Formation / Google Cloud Shell: Diese Optionen verwenden native IaC-Tools (Infrastructure-as-Code), um die Infrastruktur in Ihren Cloud-Umgebungen automatisch bereitzustellen. Mit dieser Option können Sie in nur wenigen Klicks damit beginnen, die Sicherheitshaltung Ihrer Cloud-Umgebungen zu beurteilen.
• Manual: Für die manuelle Option müssen Sie die für CSPM in Ihrer Umgebung verwendete Infrastruktur manuell bereitstellen.

Für diese Anleitung stellen wir unsere Infrastruktur automatisch bereit, wählen Sie daher AWS Cloud Formation bzw. Google Cloud Shell aus.

Führen Sie unbedingt die unter „Setup Access“ beschriebenen Schritte aus, darunter auch die Anmeldung bei Ihrem Cloud-Anbieter.

Wenn Sie anschließend auf Save and continue klicken, wird ein Popup-Modal angezeigt. Im Popup können Sie Ihr bevorzugtes natives IaC-Tool starten, um die erforderliche Infrastruktur in Ihrer Cloud automatisch bereitzustellen.

Daraufhin wird ein neues Fenster mit der Konsole Ihres bevorzugten Cloud-Anbieters geöffnet. Um herauszufinden, wie Sie Ihr bevorzugtes IaC-Tool in AWS oder GCP starten können, nachdem Sie auf Save and continue geklickt haben, folgen Sie dieser angeleiteten Tour.

Die Bereitstellung Ihrer Infrastruktur dauert nur einige Minuten. Während die Infrastruktur und die erforderlichen Berechtigungen eingerichtet werden, können Sie zur Elastic Cloud-Konsole zurückkehren, in der Sie die CSPM-Integration (Cloud Security Posture Management) hinzugefügt haben. Dort wird das Flyout Add Agent angezeigt.

Nachdem die erforderliche Infrastruktur in Ihrer Cloud bereitgestellt wurde, werden Sie sehen, dass der Elastic Agent bereitgestellt wurde und Daten zu Ihrer Sicherheitshaltung eingehen. In dieser Ansicht können Sie View Assets auswählen.

Im Cloud Posture Dashboard wird die allgemeine Sicherheitshaltung Ihrer Cloud-Umgebungen zusammengefasst.

• Anzahl der Konten, die Sie registriert haben
• Anzahl der ausgewerteten Ressourcen
• Gefundene Fehler

Ihre Haltungsbewertung gibt an, wie sicher Ihre Cloud-Umgebung insgesamt konfiguriert ist.

Auf der Seite „Findings“ werden die einzelnen Ressourcen angezeigt, die von der CSPM-Integration geprüft wurden, zusammen mit dem Ergebnis der Sicherheitsüberprüfung. Weitere Informationen zu den Funden, etwa zum Gruppieren und Filtern der Funde, finden Sie in unserer Dokumentation.

Einige Regeln sollten dabei besonders genau überwacht werden. Sie können einen Fund für eine bestimmte Regel auswählen und unten rechts auf Take action klicken. Klicken Sie dann auf Create a detection rule.

Klicken Sie anschließend auf View rule.

Daraufhin wird die Erkennungsregel zusammen mit ihrer Definition angezeigt. Anschließend erhalten Sie immer eine Warnung, wenn ein Verstoß gegen diese Regel entdeckt wird. Um weitere Aktionen einzurichten, klicken Sie oben rechts auf der Seite mit den Regeln auf Edit rule settings.

Wählen Sie anschließend Actions aus.

In dieser Ansicht können Sie Aktionen einrichten. Für Verstöße gegen Regeln können Sie beispielsweise Slack-Nachrichten, JIRA-Tickets usw. einrichten, um proaktive Nachrichten zu erhalten, damit Sie die Verstöße überprüfen und Fehlkonfigurationen beheben können. Weitere Informationen zu Erkennungsregeln finden Sie in unserer Dokumentation.

• Erste Schritte zum Erkennen von Bedrohungen in meinen Daten mit SIEM
• Erste Schritte zum Sichern Ihrer Hosts mit Endpoint Security
• Elastic Security Labs
• Threat-Hunting-Leitfaden
• Leitfaden zur Erschließung großer Datenmengen für SIEM