Elastic 安全:使用云安全态势管理保护您的云资产
概述
Elastic 安全简介
了解 Elastic 安全如何通过将 SIEM、终端和云安全统一起来,帮助您保护贵组织。
Elastic 安全实操练习
通过这个交互式演示,亲自体验 Elastic 安全。
装载数据
创建 Elastic Cloud 帐户
在开始使用 Elastic 的 Endpoint Security 之前,请确保先设置 Elastic 的 SIEM 解决方案。如果您还没有设置 SIEM,请查看 SIEM 入门指南。
如果您已经设置 SIEM,请继续按照以下说明进行操作:
您的部署准备完毕后,在安全选项卡下,选择“Secure my cloud assets with cloud security posture (CSPM)”(通过云安全态势管理 (CSPM) 保护我的云资产)。
选择 Cloud Security Posture Management (CSPM)(云安全态势管理 (CSPM))后,系统会提示您添加用于在云环境中发现和评估服务(例如存储、计算、IAM 等)的集成,这样您可以识别和修复可能破坏云中数据的机密性、完整性和可用性的配置风险。
接下来,您将配置集成。首先,您将选择要监测的云服务提供商:
- Amazon Web Services (AWS)
- Google Cloud (GCP)
可以配置 Elastic Security for Cloud CSPM 功能,以便在组织级别执行评估以确保完全覆盖,或在组织内的单个帐户级别执行评估。请注意,要完成 CSPM 的设置,您将需要适当的权限,其范围为组织级或帐户级访问。为了初始的概念验证和入门目的,我们将选择 Single Account(单一帐户)。
您还可以提供一个名称和描述,但这是可选的。
对于 Setup Access,根据您希望监测的云服务提供商,Elastic 提供了两个选项:
- AWS Cloud Formation/Google Cloud Shell:这些选项使用原生基础架构即代码 (IaC) 工具,自动在云环境中配置基础架构。借助此选项,只需单击几下,您就可以开始评估云环境的安全态势。
- 手动:手动选项要求您在环境中手动配置用于 CSPM 的基础架构。
在本指南中,我们将自动配置我们的基础架构,因此请选择 AWS Cloud Formation 或 Google Cloud Shell。
确保按照 Setup Access 中列出的一系列步骤进行操作,其中包括登录到云服务提供商。
执行操作之后,单击 Save and continue(保存并继续),您将看到一个弹出式模式。在弹出窗口中,您将看到您可以启动首选原生 IaC 工具,以便在云中自动配置必要的基础架构。
现在,将打开一个新窗口,将您带到首选云服务提供商的控制台。要在单击 Save and continue(保存并继续)后跟着操作并体验在 AWS 或 GCP 中启动您的首选 IaC 工具的情形,请跟随此介绍视频操作。
配置基础架构将花费几分钟时间。随着必要基础架构和权限配置完成,如果您导航回先前添加云安全态势管理 (CSPM) 集成的 Elastic Cloud 控制台,您将看到一个 Add agent(添加代理)弹出窗口。
在云中配置完所有必要的基础架构之后,您将看到该 elastic-agent 已经注册,并且正在传入态势数据。在这里,您可以选择 View Assets(查看资产)。
使用 Elastic 安全
现在,是时候探索您的数据了。单击 View Assets(查看资产)之后,您将来到下面的页面。让我们一起看看 Dashboard(仪表板)、Findings(调查结果)和 Rules(规则)资产。
请记住,如果您想启用 Cloud Native Vulnerability Management(云原生漏洞管理),需要进行额外的配置。这不是入门所需要的,但若要了解更多信息,请查看我们的文档。
云态势仪表板
云态势仪表板总结了云环境的整体安全态势。
- 您已注册的帐户数
- 已评估的资源数
- 失败的调查结果
您的态势评分将告知您的整个云环境的配置安全情况。
调查结果和告警
Findings(调查结果)页面显示由 CSPM 集成评估的每个单独资源,以及资源是否成功通过了安全配置检查,有关调查结果的更多信息,例如如何对它们进行分组和筛选,请查看我们的文档。
与其他规则相比,您可能更需要密切关注某些规则。您可以选择该特定规则的一个调查结果,然后单击右下角的 Take action(采取行动)。然后单击 Create a detection rule(创建检测规则)。
接下来,单击 View rule(查看规则)。
现在,您将看到检测规则及其定义。现在,只要此规则有失败的调查结果,您就会收到告警。要设置其他操作,请单击规则页面右上方的 Edit rule settings(编辑规则设置)。
接下来,您将选择 Actions(操作)。
在这里,您可以设置操作。例如,如果一条规则失败了,您则设置 Slack 消息、Jira 工单等,这样您就可以获得一个主动通知,以检查失败的调查结果并纠正错误配置。要了解检测规则的更多信息,请查看我们的文档。
后续步骤
恭喜您使用 Elastic Security for Cloud (CSPM) 开启了自己的 Elastic 安全之旅。有关 CSPM 的更多信息,请查看产品文档。在您开始使用的过程中,请务必针对您的部署查看关键的运维、安全和数据注意事项,从而确保您能最充分地利用 Elastic。
准备好开始体验了吗?那就在 Elastic Cloud 上开始 14 天的免费试用吧。