Elastic Security: Asegurar tus activos en el cloud con la gestión de postura de seguridad en el cloud

Conoce cómo Elastic Security ayuda a proteger a tu organización unificando la seguridad del cloud, endpoint y SIEM.

Experimenta Elastic Security tú mismo con esta demostración interactiva.

Antes de comenzar con Elastic Endpoint Security, asegúrate de haber configurado primero la solución de SIEM de Elastic. Si aún no lo has hecho, echa un vistazo a la guía de primeros pasos de SIEM.

Si ya tienes configurado SIEM, avanza siguiendo las instrucciones a continuación:

Una vez que tu despliegue esté listo, selecciona la pestaña Security (Seguridad) y luego Secure my cloud assets with cloud security posture (CSPM) (Asegurar mis activos en el cloud con postura de seguridad en el cloud [CSPM]).

Al seleccionar Cloud Security Posture Management (CSPM), (Gestión de postura de seguridad en el cloud [CSPM]), se te pedirá que agregues la integración que permite la detección y evaluación de servicios en tu entorno en el cloud, como almacenamiento, procesamiento, IAM y más a fin de que puedas identificar y corregir los riesgos de configuración que podrían socavar la confidencialidad, integridad y disponibilidad de tus datos en el cloud.

A continuación, configurarás la integración. Primero, seleccionarás el Proveedor Cloud que deseas monitorear:

• Amazon Web Services (AWS)
• Google Cloud (GCP)

La característica Elastic Security for Cloud CSPM puede configurarse para realizar evaluaciones a nivel de la organización a fin de asegurar la cobertura completa o a nivel de cuenta individual dentro de una organización. Ten en cuenta que necesitarás los permisos adecuados, específicos para acceso a nivel de la cuenta u organizativo, a fin de completar la configuración de CSPM. Para una prueba de concepto inicial y a los fines de dar los primeros pasos, elegiremos Single Account (Cuenta única).

También puedes asignarle un nombre y una descripción, pero esto es opcional.

Para Setup Access (Acceso de configuración), según el Proveedor Cloud que desees monitorear, Elastic proporciona dos opciones:

• AWS Cloud Formation/Google Cloud Shell: estas opciones usan herramientas de infraestructura nativa como código (IaC) que provisionan la infraestructura dentro de tus entornos en el cloud de forma automática. Con esta opción, a través de unos clics, comenzarás a evaluar la postura de seguridad de tus entornos en el cloud.
• Manual: la opción manual requiere que provisiones la infraestructura usada para CSPM en tu entorno de forma manual.

En esta guía, provisionaremos automáticamente nuestra infraestructura, así que selecciona AWS Cloud Formation o Google Cloud Shell.

Asegúrate de seguir la serie de pasos descritos en Setup Access (Acceso de configuración), que incluyen iniciar sesión en tu Proveedor Cloud.

Una vez que hagas esto, haz clic en Save and continue (Guardar y continuar) y verás que aparecerá un modal emergente. En la ventana emergente, verás que puedes iniciar tu herramienta de IaC nativa preferida a fin de provisionar la infraestructura necesaria dentro de tu cloud de manera automática.

Ahora, se abrirá una ventana nueva, la cual te llevará a la consola de tu Proveedor Cloud preferido. Para seguir los pasos y experimentar cómo será iniciar tu herramienta de IaC preferida en AWS o GCP una vez que hagas clic en Save and continue (Guardar y continuar), sigue este recorrido guiado.

El provisionamiento de tu infraestructura tomará unos minutos. Mientras se provisionan todos los permisos e infraestructura necesarios, si navegas nuevamente a la consola de Elastic Cloud donde estabas agregando la integración gestión de postura de seguridad en el cloud (CSPM), verás un elemento flotante Add agent (Agregar agente).

Toda la infraestructura necesaria se provisionó en tu cloud, verás que elastic-agent se inscribió y que están ingresando datos de postura. Desde aquí, puedes seleccionar View Assets (Ver activos).

El dashboard Cloud Posture (Postura en el cloud) resume la postura de seguridad general de tus entornos en el cloud.

• Cantidad de cuentas que inscribiste
• Cantidad de recursos evaluados
• Hallazgos fallidos

Tu puntuación de postura indica qué tan segura es la configuración de tu entorno en el cloud general.

La página Findings (Hallazgos) muestra cada recurso individual evaluado por la integración de CSPM y si el recurso aprobó o no las comprobaciones de configuración segura que se le realizaron; para obtener más información sobre Findings (Hallazgos), como de qué forma agruparlos y filtrarlos, echa un vistazo a nuestra documentación.

Querrás monitorear más de cerca algunas reglas, más que otras. Puedes seleccionar un hallazgo para esa regla en particular y hacer clic en Take action (Tomar medida) abajo a la derecha. Luego haz clic en Create a detection rule (Crear una regla de detección).

A continuación, haz clic en View rule (Ver regla).

Ahora, verás la regla de detección, junto con su definición. Ahora, cada vez que haya un hallazgo fallido para esta regla, recibirás una alerta. Para configurar otras acciones, haz clic en Edit rule settings (Editar configuración de regla) en la parte superior derecha de la página de reglas.

Luego, selecciona Actions (Acciones).

Desde aquí, puedes configurar acciones. Por ejemplo, si una regla falla, configura un mensaje de Slack, un ticket de Jira, etc., de modo que recibas una notificación proactiva para revisar el hallazgo fallido y corregir la mala configuración. Para conocer más sobre las reglas de detección, echa un vistazo a nuestra documentación.

• Primeros pasos en la detección de amenazas en mis datos con SIEM
• Primeros pasos para asegurar tus hosts con seguridad de endpoint
• Elastic Security Labs
• Guía de búsqueda de amenazas
• Guía de fuentes de datos de gran volumen para SIEM