Elastic 安全:使用云安全态势管理保护您的云资产

概述

Elastic 安全简介

了解 Elastic 安全如何通过将 SIEM、终端和云安全统一起来,帮助您保护贵组织。

Elastic 安全实操练习

通过这个交互式演示,亲自体验 Elastic 安全。


装载数据

创建 Elastic Cloud 帐户

在开始使用 Elastic 的 Endpoint Security 之前,请确保先设置 Elastic 的 SIEM 解决方案。如果您还没有设置 SIEM,请查看 SIEM 入门指南。

如果您已经设置 SIEM,请继续按照以下说明进行操作:

您的部署准备完毕后,在安全选项卡下,选择“Secure my cloud assets with cloud security posture (CSPM)”(通过云安全态势管理 (CSPM) 保护我的云资产)。

选择 Cloud Security Posture Management (CSPM)(云安全态势管理 (CSPM))后,系统会提示您添加用于在云环境中发现和评估服务(例如存储、计算、IAM 等)的集成,这样您可以识别和修复可能破坏云中数据的机密性、完整性和可用性的配置风险。

接下来,您将配置集成。首先,您将选择要监测的云服务提供商:

  • Amazon Web Services (AWS)
  • Google Cloud (GCP)

可以配置 Elastic Security for Cloud CSPM 功能,以便在组织级别执行评估以确保完全覆盖,或在组织内的单个帐户级别执行评估。请注意,要完成 CSPM 的设置,您将需要适当的权限,其范围为组织级或帐户级访问。为了初始的概念验证和入门目的,我们将选择 Single Account(单一帐户)。

您还可以提供一个名称和描述,但这是可选的。

对于 Setup Access,根据您希望监测的云服务提供商,Elastic 提供了两个选项:

  • AWS Cloud Formation/Google Cloud Shell:这些选项使用原生基础架构即代码 (IaC) 工具,自动在云环境中配置基础架构。借助此选项,只需单击几下,您就可以开始评估云环境的安全态势。
  • 手动:手动选项要求您在环境中手动配置用于 CSPM 的基础架构。

在本指南中,我们将自动配置我们的基础架构,因此请选择 AWS Cloud FormationGoogle Cloud Shell

确保按照 Setup Access 中列出的一系列步骤进行操作,其中包括登录到云服务提供商。

执行操作之后,单击 Save and continue(保存并继续),您将看到一个弹出式模式。在弹出窗口中,您将看到您可以启动首选原生 IaC 工具,以便在云中自动配置必要的基础架构。

现在,将打开一个新窗口,将您带到首选云服务提供商的控制台。要在单击 Save and continue(保存并继续)后跟着操作并体验在 AWSGCP 中启动您的首选 IaC 工具的情形,请跟随此介绍视频操作。

配置基础架构将花费几分钟时间。随着必要基础架构和权限配置完成,如果您导航回先前添加云安全态势管理 (CSPM) 集成的 Elastic Cloud 控制台,您将看到一个 Add agent(添加代理)弹出窗口。

在云中配置完所有必要的基础架构之后,您将看到该 elastic-agent 已经注册,并且正在传入态势数据。在这里,您可以选择 View Assets(查看资产)。


使用 Elastic 安全

现在,是时候探索您的数据了。单击 View Assets(查看资产)之后,您将来到下面的页面。让我们一起看看 Dashboard(仪表板)、Findings(调查结果)和 Rules(规则)资产。

请记住,如果您想启用 Cloud Native Vulnerability Management(云原生漏洞管理),需要进行额外的配置。这不是入门所需要的,但若要了解更多信息,请查看我们的文档

云态势仪表板

云态势仪表板总结了云环境的整体安全态势。

  • 您已注册的帐户数
  • 已评估的资源数
  • 失败的调查结果

您的态势评分将告知您的整个云环境的配置安全情况。

调查结果和告警

Findings(调查结果)页面显示由 CSPM 集成评估的每个单独资源,以及资源是否成功通过了安全配置检查,有关调查结果的更多信息,例如如何对它们进行分组和筛选,请查看我们的文档

与其他规则相比,您可能更需要密切关注某些规则。您可以选择该特定规则的一个调查结果,然后单击右下角的 Take action(采取行动)。然后单击 Create a detection rule(创建检测规则)。

接下来,单击 View rule(查看规则)。

现在,您将看到检测规则及其定义。现在,只要此规则有失败的调查结果,您就会收到告警。要设置其他操作,请单击规则页面右上方的 Edit rule settings(编辑规则设置)。

接下来,您将选择 Actions(操作)。

在这里,您可以设置操作。例如,如果一条规则失败了,您则设置 Slack 消息、Jira 工单等,这样您就可以获得一个主动通知,以检查失败的调查结果并纠正错误配置。要了解检测规则的更多信息,请查看我们的文档


后续步骤

恭喜您使用 Elastic Security for Cloud (CSPM) 开启了自己的 Elastic 安全之旅。有关 CSPM 的更多信息,请查看产品文档。在您开始使用的过程中,请务必针对您的部署查看关键的运维、安全和数据注意事项,从而确保您能最充分地利用 Elastic。

 

准备好开始体验了吗?那就在 Elastic Cloud 上开始 14 天的免费试用吧。

开始免费试用