Elastic Security: Sichern Ihrer Hosts mit Endpoint Security

Elastic Security ist eine einheitliche Sicherheitslösung, die SIEM, Endpoint und Cloud Security in einer einzigen Plattform vereint. Auf diese Weise können Sie sich noch einfacher schützen, Vorfälle untersuchen und auf sicherheitsrelevante Ereignisse in allen Teilen Ihrer Umgebung reagieren. Erfahren Sie im folgenden Video, wie Sie Ihr Unternehmen mit Elastic Security schützen können:

Erleben Sie Elastic Security live in dieser interaktiven Demo.

Bevor Sie sich mit Elastic Security für Endpoint vertraut machen, sollten Sie zunächst Elastic Security für SIEM einrichten. Falls Sie dies noch nicht getan haben, lesen Sie die Einsteigerhilfe zu Elastic Security für SIEM.

Falls Sie Elastic Security für SIEM bereits eingerichtet haben, fahren Sie mit der folgenden Anleitung fort:

Warten Sie, bis Ihr Deployment bereit ist, und wählen Sie dann Secure my hosts with endpoint security unter der Registerkarte Security aus.

Sie müssen den Elastic Agent mit der Elastic Defend-Integration auswählen, falls Sie dies in Elastic Security für SIEM noch nicht erledigt haben. Für den Agent sind Hunderte von vorkonfigurierten Integrationen verfügbar. Elastic Defend ist eine Endpoint-Sicherheitslösung und bietet Funktionen für Vermeidung, Untersuchung und Abwehr mit umfassenden Einblicken in hostbasierte Aktivitäten.

Falls Sie Hilfe bei den ersten Schritten mit Elastic Defend und dem Elastic Agent brauchen, sehen Sie sich diese angeleitete Tour an oder folgen Sie den unten aufgeführten Anweisungen:

Wenn Sie Add Elastic Defend auswählen, werden Sie aufgefordert, Elastic Agent auf einem Host zu installieren.

Klicken Sie auf Install Elastic Agent, wählen Sie das entsprechende Betriebssystem aus, und führen Sie die Befehle zum Installieren, Registrieren und Starten des Elastic Agent aus.

Nachdem Sie den Elastic Agent installiert haben, erhalten Sie eine Bestätigung für die erfolgreiche Registrierung des Agenten.

Wählen Sie dann Confirm incoming data aus. Standardmäßig ist Elastic Defend nur für die Ereigniserfassung konfiguriert.

Lesen Sie weiter, um zu erfahren, wie Sie das komplette Endpoint Detection and Response-Erlebnis (EDR) von Elastic aktivieren können, indem Sie Endpoint-Abwehrmaßnahmen in der Richtlinie konfigurieren.

Wählen Sie als nächstes View Assets aus.

Wählen Sie dann Hosts aus.

Daraufhin wird Elastic Security für Endpoints angezeigt. Wählen Sie unter „Policy“ den gewünschten Endpoint aus.

Um den vollen Umfang der Endpoint Detection and Response-Funktionen (EDR) zu nutzen, aktivieren Sie auf der rechten Seite die folgenden Schutzmaßnahmen in Ihrer Richtlinie:

• Malware-Schutz
• Ransomware-Schutz
• Speicherschutz
• Schutz vor bösartigen Verhaltensweisen

Weitere Informationen zum Konfigurieren Ihrer Elastic Defend-Richtlinie finden Sie in unserer Dokumentation.

Wählen Sie zum Abschluss Save aus, und beginnen Sie damit, Ihre Daten zu erkunden.

Lassen Sie uns gemeinsam herausfinden, was in Ihrer Umgebung vor sich geht. Sie können sich einen ganzheitlichen Überblick über sicherheitsrelevante Daten verschaffen, Ereignisse schnell untersuchen und vieles mehr. Informationen dazu, wie Sie Ihre Umgebung anhand interaktiver Dashboards und mithilfe von Analytics-Tools erkunden können, finden Sie hier:

• Visualisieren von Systemdaten in der Host-Ansicht
• Erkunden von Netzwerkdaten in der Netzwerkansicht
• Untersuchen von Ereignissen in der Zeitleiste
• Erkunden von Host-Prozessen in der Analyzer-Ansicht
• Osquery aus Warnungen heraus ausführen

Aktivieren Sie als Nächstes die vorkonfigurierten Erkennungsregeln:

• Erkennungsregeln verwalten
• Abwehrmaßnahmen einrichten
• Event Analyzer
• Überprüfung der Abwehrmaßnahmen

Gehen Sie einen Schritt weiter und erkennen Sie bislang unbekannte Bedrohungen mit der ML-basierten Anomalieerkennung. Schützen Sie Ihre Hosts außerdem mit dem Ransomware- und Malware-Schutz über die Elastic Defend-Integration für den Elastic Agent.

Für das Threat Hunting und die Untersuchung von Bedrohungen ist Elastic die Plattform der Wahl. Probieren Sie es mit Ihren Daten aus. Mit den folgenden Ressourcen können Sie eigene Untersuchungen durchführen – von der anfänglichen Triage bis zum Schließen des Falles.

• Osquery Manager-Integration für Elastic Agent installieren

• Endpoint-Abwehrmaßnahmen konfigurieren

Glückwunsch! Sie haben Ihre Journey mit Elastic Security für Endpoint begonnen. Sie sollten sich aber unbedingt noch Gedanken zu operativen-, Security- und Daten-Aspekten Ihres Deployments machen, um Elastic optimal nutzen zu können.

• Erste Schritte zum Erkennen von Bedrohungen in meinen Daten mit SIEM
• Erste Schritte zum Sichern Ihrer Cloud-Assets mit Cloud Security Posture Management
• Elastic Security Labs
• Threat-Hunting-Leitfaden
• Leitfaden zur Erschließung großer Datenmengen für SIEM
• Erfahren Sie, wie Sie Ihren Endpoint optimieren können