Elastic Security : sécurisation des hôtes grâce à la sécurité aux points de terminaison

Aperçu

Présentation d'Elastic Security

Elastic Security est une solution de sécurité unifiée qui rassemble le SIEM, la sécurité aux points de terminaison et la sécurité du cloud sur une seule et même plateforme. Vous pouvez ainsi vous protéger plus facilement des événements de sécurité, les examiner et y répondre lorsqu'ils se produisent, peu importe d'où ils viennent. Pour savoir comment Elastic Security vous aide à protéger votre organisation, regardez la vidéo ci-dessous :

Adoption d'Elastic Security

Voyez Elastic Security à l'œuvre grâce à cette démo interactive.


Intégration de vos données

Création d'un compte Elastic Cloud

Avant de vous lancer avec Elastic Security for Endpoint, assurez-vous d'avoir configuré la solution Elastic Security for SIEM au préalable. Dans le cas contraire, consultez le guide de prise en main d'Elastic Security for SIEM.

Si vous avez déjà configuré Elastic Security for SIEM, poursuivez en procédant comme indiqué ci-dessous :

Une fois votre déploiement prêt, dans l'onglet Security (Sécurité), sélectionnez Secure my hosts with endpoint security (Sécuriser mes hôtes avec la sécurité aux points de terminaison).

Vous aurez besoin d'installer Elastic Agent avec l'intégration Elastic Defend si vous ne l'avez pas déjà fait avec Elastic Security for SIEM. Elastic Agent propose des centaines d'intégrations prêtes à l'emploi. Elastic Defend est une solution de sécurité aux points de terminaison qui fournit des fonctionnalités de prévention, d'examen et de réponse, le tout avec une visibilité approfondie sur l'activité basée sur l'hôte.

Envie de vous lancer avec Elastic Defend et Elastic Agent ? Pour en savoir plus, consultez cette visite guidée ou procédez comme indiqué ci-dessous :

Après avoir cliqué sur Add Elastic Defend (Ajouter Elastic Defend), une invite vous suggère d'installer Elastic Agent sur un hôte.

Cliquez tout simplement sur Install Elastic Agent (Installer Elastic Agent), sélectionnez le système d'exploitation que vous utilisez et exécutez les commandes pour installer, enregistrer et lancer Elastic Agent.

Une fois Elastic Agent installé, une confirmation vous sera envoyée pour vous informer que votre instance a été enregistrée avec succès.

Sélectionnez ensuite Confirm incoming data (Confirmer les données entrantes). Dans la configuration par défaut d'Elastic Defend, seule la collecte d'événements est activée.

Poursuivez votre lecture pour savoir comment activer la détection et la réponse aux points de terminaison (EDR).

Ensuite, sélectionnez View Assets (Afficher les ressources).

Choisissez Hosts (Hôtes).

La solution Elastic Security for Endpoints s'affiche. Sous la règle, sélectionnez le point de terminaison.

Pour tirer le meilleur parti des fonctionnalités de détection et de réponse aux points de terminaison, à partir de là, à droite, activez tout simplement les protections suivantes dans votre règle :

  • Protections contre les malwares
  • Protections contre les ransomwares
  • Protections de la mémoire contre les menaces
  • Protections contre les comportements malveillants

Pour en savoir plus sur la configuration de votre règle Elastic Defend, consultez notre documentation.

Cliquez ensuite sur Save (Enregistrer). Vous pouvez désormais commencer à explorer vos données.


Utilisation d'Elastic Security for Endpoint

Analyse de vos données

Commençons par découvrir ce qu'il se passe dans votre environnement. Vous bénéficiez d'une vue complète sur les données pertinentes en matière de sécurité et vous pouvez rapidement examiner les événements, entre autres. Les documents suivants vous aident à vous familiariser avec votre environnement à l'aide d'outils d'analyse et de tableaux de bord interactifs.

Automatisation de la protection

Ensuite, activez les règles de détection prêtes à l'emploi :

Allez plus loin en révélant les menaces inconnues avec la détection des anomalies basée sur le ML. Protégez vos hôtes en mettant en place la prévention contre les ransomwares et les malwares via l'intégration Elastic Defend pour Elastic Agent.

Recherche et détection des menaces

Elastic est la plateforme idéale pour la recherche des menaces et l'investigation des incidents. Mettons-la à l'épreuve avec vos données. Utilisez les ressources suivantes pour effectuer vos propres examens, depuis le tri initial jusqu'à la clôture d'un incident.

Étapes suivantes

Félicitations ! Vous venez de faire vos premiers pas avec Elastic Security for Endpoint ! Pour vous lancer, passez en revue les principales considérations relatives aux données, à la sécurité et aux opérations pour votre déploiement afin de vous assurer de tirer pleinement parti d'Elastic.