Elastic Security: Asegurar mis hosts con seguridad de endpoint

Elastic Security es una solución de seguridad unificada que reúne la seguridad de SIEM, de endpoints y en el cloud en una sola plataforma. Esto facilita proteger, investigar y responder a eventos de seguridad desde todas partes en tu entorno. Conoce cómo Elastic Security te ayuda a proteger tu organización en el video siguiente:

Experimenta Elastic Security tú mismo con esta demostración interactiva.

Antes de comenzar con Elastic Security para endpoint, asegúrate de haber configurado primero la solución Elastic Security for SIEM. Si aún no lo has hecho, echa un vistazo a la guía de primeros pasos de Elastic Security for SIEM.

Si ya tienes configurado Elastic Security for SIEM, avanza siguiendo las instrucciones a continuación:

Una vez que tu despliegue esté listo, selecciona la pestaña Security (Seguridad) y luego Secure my hosts with endpoint security (Asegurar mis hosts con seguridad de endpoint).

Deberás instalar Elastic Agent con la integración Elastic Defend si aún no lo has hecho con Elastic Security for SIEM. Agent tiene disponibles cientos de integraciones listas para usar. Elastic Defend es una solución de seguridad de endpoints que brinda capacidades de prevención, investigación y respuesta con gran visibilidad de la actividad basada en host.

Para aprender cómo dar los primeros pasos con Elastic Defend y Elastic Agent, simplemente echa un vistazo a este recorrido guiado o sigue las instrucciones a continuación:

Al seleccionar Add Elastic Defend (Agregar Elastic Defend), se te pedirá instalar Elastic Agent en un host.

Simplemente haz clic en Install Elastic Agent (Instalar Elastic Agent), selecciona el sistema operativo adecuado y ejecuta los comandos para instalar, inscribir e iniciar Elastic Agent.

Una vez que hayas instalado Elastic Agent, verás la confirmación de que tu agente se inscribió correctamente.

A continuación, selecciona Confirm incoming data (Confirmar datos entrantes). De forma predeterminada, Elastic Defend está configurado solo con la recopilación de eventos habilitada.

Continúa leyendo para saber cómo activar la experiencia completa de detección y respuesta de endpoint (EDR) de Elastic habilitando las prevenciones de endpoint en la política.

Luego, selecciona View Assets (Ver activos).

Ahora, selecciona Hosts.

Ahora verás que se muestra Elastic Security para endpoints. Luego, en la política, selecciona el endpoint.

Aprovecha las completas capacidades de detección y respuesta de endpoint (EDR), desde aquí, a la derecha, simplemente habilita las protecciones siguientes en tu política:

• Protecciones de malware
• Protecciones de ransomware
• Protecciones contra amenazas a la memoria
• Protecciones contra comportamiento malicioso

Para obtener más información sobre cómo configurar tu política de Elastic Defend echa un vistazo a nuestra documentación.

Luego, selecciona Save (Guardar) y estarás listo para comenzar a explorar tus datos.

Comencemos a explorar lo que ocurre en tu entorno. Obtén una visión general integral de los datos relevantes para la seguridad, investiga los eventos con rapidez y más. La documentación siguiente muestra cómo explorar tu entorno usando dashboards interactivos y herramientas analíticas.

• Visualizar los datos del sistema en la vista de host
• Explorar los datos de red en la vista de red
• Investigar los eventos en la línea de tiempo
• Explorar los procesos de los hosts en la vista de analizador
• Run Osquery from alerts (Ejecutar Osquery desde alertas)

A continuación, activa las reglas de detección listas para usar:

• Manage detection rules (Gestionar reglas de detección)
• Configurar acciones de respuesta
• Analizador de eventos
• Revisión de respuestas

Ve más allá con el descubrimiento de amenazas desconocidas gracias a la detección de anomalías basada en ML. Además, protege los hosts implementando prevención de ransomware y malware a través de la integración de Elastic Defend para Elastic Agent.

Elastic es la plataforma preferida para la búsqueda de amenazas y la investigación de incidentes. Pongámoslo a prueba con tus datos. Utiliza los siguientes recursos para realizar tus propias investigaciones, desde la priorización inicial hasta el cierre de un caso.

• Instalar la integración de Osquery Manager para Elastic Agent

• Configurar acciones de respuesta de endpoint

Felicitaciones por iniciar tu recorrido de Elastic Security para endpoint. Durante los primeros pasos, no olvides revisar las consideraciones operativas, de seguridad y de datos clave para tu despliegue a fin de asegurarte de aprovechar Elastic al máximo.

• Primeros pasos en la detección de amenazas en mis datos con SIEM
• Primeros pasos para asegurar tus activos en el cloud con la gestión de postura de seguridad en el cloud
• Elastic Security Labs
• Guía de búsqueda de amenazas
• Guía de fuentes de datos de gran volumen para SIEM
• Conoce cómo optimizar tu endpoint