Elastic 安全:使用 SIEM 来检测和应对威胁

概述

Elastic 安全简介

了解 Elastic 安全如何通过将 SIEM、容器和云安全统一起来,帮助您保护贵组织。

Elastic 安全实操练习

通过这个交互式演示,亲自体验 Elastic 安全。


装载数据

创建 Elastic Cloud 帐户

开始为期 14 天的试用。在 cloud.elastic.co 上创建账户,并按照这个视频中的说明来部署 Elastic。

您的部署准备完毕后,选择 Detect threats in my data with SIEM(使用 SIEM 检测我的数据中的威胁),然后选择 Start(开始)。

Screenshot of Elastic Security and options for next steps

Screenshot of Elastic Security and option to detect threats in data with SIEM

如果这是您第一次使用 Elastic 安全,系统会提示您安装 Elastic Defend,这一工具能够让您保护自己的终端,还能通过数以百计的 Elastic Agent 集成来收集数据。

Screenshot of Elastic Security and integrations

Screenshot of Elastic Security and Elastic Defend

选择 Add Elastic Defend(添加 Elastic Defend)后,系统会提示您在主机上安装 Elastic Agent

Screenshot of Elastic Security and prompt to install Elastic Agent

您只需按照说明安装 Elastic Agent,添加集成,并开始向 Elastic 中发送安全数据。


使用 Elastic 安全

分析数据

我们开始了解环境中的所有情况。查看安全相关数据的整体概览,快速调查事件,等等。下面的文档向您展示了如何使用交互式仪表板和分析工具来探索您的环境。

自动执行防御和检测

接下来,按照下面的网络研讨会中的说明操作,激活开箱即用型检测规则。

您还可以更进一步,使用预构建的 Machine Learning 作业来发现未知威胁。
不仅如此,为了保护您的主机,您还可以使用 Elastic Defend 来实施勒索软件和恶意软件自动预防

调查和搜寻

Elastic 是威胁猎捕和事件调查的首选平台。让我们用数据来测试一下。从最开始的分类到结束案例,您都可以使用以下资源自行开展调查。


后续步骤

恭喜您开启了自己的 Elastic 安全旅程。在您开始使用的过程中,一定要针对您的部署查看关键的运维、安全和数据注意事项,从而确保您能最充分地利用 Elastic。