Elastic Security: protegendo seus ativos com gerenciamento da postura de segurança na nuvem

Saiba como o Elastic Security ajuda você a proteger sua organização unificando a segurança do SIEM, do endpoint e da nuvem.

Experimente o Elastic Security com esta demonstração interativa.

Antes de começar a usar o Endpoint Security da Elastic, certifique-se de ter configurado primeiro a solução SIEM da Elastic. Caso ainda não tenha feito isso, confira o guia de primeiros passos do SIEM.

Se você já configurou o SIEM, continue seguindo as instruções abaixo:

Quando sua implantação estiver pronta, na guia Security , selecione Secure my cloud assets with cloud security posture (CSPM) (Proteger meus ativos na nuvem com postura de segurança na nuvem (CSPM)).

Ao selecionar Cloud Security Posture Management (CSPM) (Gerenciamento da postura de segurança na nuvem (CSPM)), você deverá adicionar a integração que permite a descoberta e a avaliação de serviços no seu ambiente de nuvem como armazenamento, computação, IAM e muito mais, para identificar e remediar riscos de configuração que poderiam prejudicar a confidencialidade, a integridade e a disponibilidade dos seus dados na nuvem.

A seguir, você configurará a integração. Primeiro, selecione o provedor de serviços em nuvem que você quer monitorar:

• Amazon Web Services (AWS)
• Google Cloud (GCP)

O recurso CSPM do Elastic Security for Cloud pode ser configurado para realizar avaliações no nível da organização para garantir cobertura total ou no nível de conta individual dentro de uma organização. Observe que você precisará das permissões apropriadas, com escopo para acesso organizacional ou no nível de conta, para concluir a configuração do CSPM. Para uma prova de conceito inicial e para a finalidade de começar, escolheremos Single Account (Conta única).

Você também pode dar a ela um nome e uma descrição, mas isso é opcional.

Para Setup Access (Acesso para configuração), dependendo do provedor de serviços em nuvem que você deseja monitorar, a Elastic oferece duas opções:

• AWS Cloud Formation/Google Cloud Shell. Estas opções usam ferramentas nativas de infraestrutura como código (IaC) que provisionam automaticamente a infraestrutura dentro dos seus ambientes de nuvem. Escolhendo esta opção, com apenas alguns cliques, você começará a avaliar a postura de segurança dos seus ambientes de nuvem.
• Manual. A opção manual exige que você provisione manualmente a infraestrutura usada para o CSPM no seu ambiente.

Para este guia, provisionaremos automaticamente nossa infraestrutura; portanto, selecione AWS Cloud Formation ou Google Cloud Shell.

Siga a série de etapas descritas em Setup Access (Acesso para configuração), que incluem fazer login no seu provedor de serviços em nuvem.

Depois de fazer isso, clique em Save and continue (Salvar e continuar); um modal pop-up aparecerá. No pop-up, você verá que pode executar sua ferramenta de IaC nativa preferida para provisionar automaticamente a infraestrutura necessária dentro da sua nuvem.

Agora, uma nova janela será aberta, levando você ao console do seu provedor de serviços em nuvem preferido. Para acompanhar e experimentar como será executar sua ferramenta de IaC preferida na AWS ou no GCP depois de clicar em Save and continue (Salvar e continuar), siga este tour guiado (em inglês).

O provisionamento da sua infraestrutura levará alguns minutos. À medida que a infraestrutura e as permissões necessárias forem provisionadas, se você navegar de volta para o console Elastic Cloud onde estava adicionando a integração do Cloud Security Posture Management (CSPM) (Gerenciamento da postura de segurança na nuvem (CSPM)), verá uma tela Add agent (Adicionar agente).

Depois que toda a infraestrutura necessária tiver sido provisionada na sua nuvem, você verá que o elastic-agent foi inscrito e os dados de postura estão chegando. A partir daqui, você poderá selecionar View Assets (Ver ativos).

O dashboard Cloud Posture (Postura da nuvem) resume a postura geral de segurança dos seus ambientes de nuvem.

• Número de contas que você inscreveu
• Número de recursos avaliados
• Descobertas com falha

Sua pontuação de postura informa se seu ambiente de nuvem geral está configurado de forma segura.

A página Findings (Descobertas) exibe cada recurso individual avaliado pela integração do CSPM e se o recurso foi aprovado ou não nas verificações de configuração segura. Para obter mais informações sobre as descobertas e como agrupá-las e filtrá-las, confira nossa documentação (em inglês).

Convém monitorar algumas regras mais atentamente do que outras. Você pode selecionar uma descoberta para essa regra específica e clicar em Take action (Executar ação) no canto inferior direito. Em seguida, clique em Create a detection rule (Criar uma regra de detecção).

Depois, clique em View rule (Ver regra).

Você verá a regra de detecção, junto com sua definição. Agora, sempre que houver uma descoberta com falha para essa regra, você receberá um alerta. Para configurar outras ações, clique em Edit rule settings (Editar configurações de regras) no canto superior direito da página de regras.

Em seguida, selecione Actions (Ações).

A partir daqui, você poderá configurar ações. Por exemplo, se uma regra falhar, você configurará uma mensagem do Slack, um tíquete do Jira etc. para receber uma notificação proativa a fim de examinar a descoberta com falha e corrigir a configuração incorreta. Para saber mais sobre regras de detecção, confira nossa documentação (em inglês).

• Começar a detectar ameaças nos meus dados com SIEM
• Começar a proteger seus hosts com segurança de endpoint
• Elastic Security Labs
• Threat hunting guide (Guia de caça a ameaças)
• Guia para fontes de dados de alto volume para SIEM