Asegura tu cloud con Cloud Workload Protection en Elastic Security
Primeros pasos con Cloud Workload Protection en Elastic Security
Con el lanzamiento de Elastic 8.2, nos complace presentar el comienzo de las capacidades de seguridad de clouds, con casos de uso de Cloud Workload Protection dentro de Elastic Security. Cuando Cmd unió fuerzas con Elastic Security en agosto pasado, emprendimos un viaje para brindar capacidades de seguridad en tiempo de ejecución de carga de trabajo en el cloud que permitan a los clientes detectar, prevenir y responder a los ataques a sus cargas de trabajo, ya sea que se ejecuten en el cloud o en centros de datos.
Ahora, con 8.2, obtienes acceso instantáneo a las nuevas capacidades de protección de cargas de trabajo:
- Mejora de la recopilación de datos para cargas de trabajo en el cloud mediante eBPF: Linux es el estándar de facto para cargas de trabajo altamente disponibles y confiables. Para proteger las cargas de trabajo, necesitamos una forma eficiente de capturar datos de tiempo de ejecución de las cargas de trabajo. Hemos realizado adiciones a los mecanismos de recopilación de datos de Endpoint Security para incluir eBPF. eBPF es una tecnología de kernel que permite que los programas se ejecuten sin modificar el código fuente del kernel ni agregar módulos adicionales, lo que lo hace más eficaz y seguro para ejecutarse en kernels de Linux. Y para garantizar que todos nuestros usuarios estén protegidos, seguimos siendo compatibles con un amplio conjunto de sistemas operativos compatibles que utilizan los mecanismos de recopilación de datos existentes.
- Extensiones de esquema para el modelo de eventos lógicos de Linux: el modelo de eventos lógicos de Linux con eventos como fork, exec, process exit y setsid es el marco básico utilizado para generar los datos para Session View. Se ha trabajado mucho (detalles en este blog) para definir y convertir este modelo de datos a Elastic Common Schema (ECS), de modo que se pueda buscar e indexar fácilmente en Elasticsearch. Esto permite a los especialistas en seguridad obtener contexto sobre lo que sucede en estas cargas de trabajo. Por ejemplo, si se generó una alerta de seguridad en una carga de trabajo, podemos profundizar en lo que estaba haciendo exactamente un usuario o servicio en una sesión durante un tiempo determinado.
- Investigar las cargas de trabajo de una manera familiar utilizando Session View: por último, la característica de marca comercial de Cmd (vista de sesión) ya está disponible en versión beta. Session View presenta una serie de ejecuciones de procesos ordenadas por tiempo en las cargas de trabajo de Linux, que aparecen como un shell de terminal. Puede ayudar a los profesionales a investigar el comportamiento de los usuarios y los servicios en las cargas de trabajo.
Session View está integrado en flujos de trabajo importantes en Elastic Security, incluidas las alertas, la investigación y la exploración del host. Esto ayuda a los analistas de seguridad a acceder a un rico contexto de entorno mientras evalúan una alerta en un host. Puedes obtener información adicional sobre cada comando ejecutado, como el nombre de usuario y los argumentos ingresados, y también información sobre el proceso principal, el líder de entradas, el líder de grupo. ¡Puedes ver las alertas que se generan y realizar acciones como abrir un caso y ejecutar un Osquery directamente desde Session View!
Primeros pasos con Cloud Workload Protection
Con estas emocionantes actualizaciones, estoy seguro de que te estarás preguntando cómo empezar a proteger tus cargas de trabajo en el cloud. Sigue estas instrucciones paso a paso para comenzar. Para este tutorial, usaré instancias de AWS EC2 como la carga de trabajo que me gustaría monitorear y proteger.
- Inicia una versión de prueba en el cloud o actualiza tu instalación de Elastic Security a 8.2.
- Una vez que hayas actualizado a Elastic Security 8.2, ve a Integraciones; después, a Endpoint Security.
- Haz clic en el botón "Agregar Endpoint Security".
- Sigue los pasos en la página siguiente. Si es necesario, crea una política de agente.
- Una vez que hayas agregado la integración a la política, ve a Políticas de integración y haz clic en la nueva política.
- En la página Política de integración, ve a la sección Recopilación de eventos para sistemas Linux. Después, habilita Incluir datos de sesión y haz clic en Guardar. Ten en cuenta que debes finalizar este paso para habilitar los datos de la sesión en cualquier host nuevo o existente antes de instalar el agente en el servidor o la máquina virtual.
- Ahora, inicia sesión/SSH en tu AWS Terminal Shell para instalar Agente y Endpoint. Sigue las instrucciones para Agregar agente e instala Agente de Elastic en tu instancia EC2.
- Asegúrate de que el proceso de Agente de Elastic se esté desarrollando; para esto, ejecuta lo siguiente:
ps -aux | grep elastic
- Ve a Elastic Security → Hosts → Pestaña Sesiones. Deberías ver una Tabla de sesiones que proporciona un seguimiento de auditoría de todos los líderes de sesión en varios hosts.
- Haz clic en el ícono Session View [>_] para examinar lo que sucede en cada sesión de cada usuario.
- Reglas para Workload Protection: Ve a Elastic Security → Detectar → Reglas. Habilita la etiqueta de Linux, explora las reglas que tienen sentido para tu carga de trabajo y habilita dichas reglas. Puedes habilitar 68 reglas de Linux preconstruidas y 18 reglas de machine learning basadas en el marco MITRE. Ten en cuenta que cualquier regla que tenga el índice logs-endpoint-events* debería habilitar Session Viewer.