Elastic Security : sécurisation des hôtes grâce à la sécurité aux points de terminaison

Elastic Security est une solution de sécurité unifiée qui rassemble le SIEM, la sécurité aux points de terminaison et la sécurité du cloud sur une seule et même plateforme. Vous pouvez ainsi vous protéger plus facilement des événements de sécurité, les examiner et y répondre lorsqu'ils se produisent, peu importe d'où ils viennent. Pour savoir comment Elastic Security vous aide à protéger votre organisation, regardez la vidéo ci-dessous :

Voyez Elastic Security à l'œuvre grâce à cette démo interactive.

Avant de vous lancer avec Elastic Security for Endpoint, assurez-vous d'avoir configuré la solution Elastic Security for SIEM au préalable. Dans le cas contraire, consultez le guide de prise en main d'Elastic Security for SIEM.

Si vous avez déjà configuré Elastic Security for SIEM, poursuivez en procédant comme indiqué ci-dessous :

Une fois votre déploiement prêt, dans l'onglet Security (Sécurité), sélectionnez Secure my hosts with endpoint security (Sécuriser mes hôtes avec la sécurité aux points de terminaison).

Vous aurez besoin d'installer Elastic Agent avec l'intégration Elastic Defend si vous ne l'avez pas déjà fait avec Elastic Security for SIEM. Elastic Agent propose des centaines d'intégrations prêtes à l'emploi. Elastic Defend est une solution de sécurité aux points de terminaison qui fournit des fonctionnalités de prévention, d'examen et de réponse, le tout avec une visibilité approfondie sur l'activité basée sur l'hôte.

Envie de vous lancer avec Elastic Defend et Elastic Agent ? Pour en savoir plus, consultez cette visite guidée ou procédez comme indiqué ci-dessous :

Après avoir cliqué sur Add Elastic Defend (Ajouter Elastic Defend), une invite vous suggère d'installer Elastic Agent sur un hôte.

Cliquez tout simplement sur Install Elastic Agent (Installer Elastic Agent), sélectionnez le système d'exploitation que vous utilisez et exécutez les commandes pour installer, enregistrer et lancer Elastic Agent.

Une fois Elastic Agent installé, une confirmation vous sera envoyée pour vous informer que votre instance a été enregistrée avec succès.

Sélectionnez ensuite Confirm incoming data (Confirmer les données entrantes). Dans la configuration par défaut d'Elastic Defend, seule la collecte d'événements est activée.

Poursuivez votre lecture pour savoir comment activer la détection et la réponse aux points de terminaison (EDR).

Ensuite, sélectionnez View Assets (Afficher les ressources).

Choisissez Hosts (Hôtes).

La solution Elastic Security for Endpoints s'affiche. Sous la règle, sélectionnez le point de terminaison.

Pour tirer le meilleur parti des fonctionnalités de détection et de réponse aux points de terminaison, à partir de là, à droite, activez tout simplement les protections suivantes dans votre règle :

• Protections contre les malwares
• Protections contre les ransomwares
• Protections de la mémoire contre les menaces
• Protections contre les comportements malveillants

Pour en savoir plus sur la configuration de votre règle Elastic Defend, consultez notre documentation.

Cliquez ensuite sur Save (Enregistrer). Vous pouvez désormais commencer à explorer vos données.

Commençons par découvrir ce qu'il se passe dans votre environnement. Vous bénéficiez d'une vue complète sur les données pertinentes en matière de sécurité et vous pouvez rapidement examiner les événements, entre autres. Les documents suivants vous aident à vous familiariser avec votre environnement à l'aide d'outils d'analyse et de tableaux de bord interactifs.

• Visualize system data in Host view
• Explore network data in Network view
• Investigate events in Timeline
• Explore hosts processes in Analyzer view
• Run Osquery from alerts

Ensuite, activez les règles de détection prêtes à l'emploi :

• Manage detection rules
• Set up response actions
• Event analyzer
• Response review

Allez plus loin en révélant les menaces inconnues avec la détection des anomalies basée sur le ML. Protégez vos hôtes en mettant en place la prévention contre les ransomwares et les malwares via l'intégration Elastic Defend pour Elastic Agent.

Elastic est la plateforme idéale pour la recherche des menaces et l'investigation des incidents. Mettons-la à l'épreuve avec vos données. Utilisez les ressources suivantes pour effectuer vos propres examens, depuis le tri initial jusqu'à la clôture d'un incident.

• Install Osquery Manager integration for Elastic Agent

• Configure endpoint response actions

Félicitations ! Vous venez de faire vos premiers pas avec Elastic Security for Endpoint ! Pour vous lancer, passez en revue les principales considérations relatives aux données, à la sécurité et aux opérations pour votre déploiement afin de vous assurer de tirer pleinement parti d'Elastic.

• Elastic Security : détection des menaces et réponses grâce au SIEM
• Elastic Security : premiers pas avec la sécurisation des ressources cloud grâce à la gestion de la posture de sécurité du cloud
• Elastic Security Labs
• Threat hunting guide
• Elastic Security : Guide sur les sources de données en grande quantité pour SIEM
• Learn how to optimize your endpoint