Elastic 中国社区官方博客

我们很高兴地宣布，Elastic 在 2022 年 Gartner® 洞察力引擎魔力象限™ 中被评为领导者。 这是我们第二年入选 Gartner 魔力象限，今年的评估将 Elastic 列为 “Completeness of Vison” 轴上最远的公司。 我们认为，这个位置、我们的市场势头和我们的愿景实力是由两个基本面驱动的结果

Elastic Security 将 Elastic SIEM（其检测引擎可自动检测威胁，以便快速调查和响应威胁）与 Endpoint Security 结合到一个解决方案中，从而统一整个网络的预防、检测和响应。本教程将引导你设置集成，以便你可以从主机收集数据。首先，你将网络数据包捕获集成添加到代理策略，然后你将在主机上部署 Elastic Agent 以收集网络数据包捕获数据。Elastic 的集成不仅提供了一种添加新数据源的简单方法，

超越阻止恶意软件、勒索软件和高级威胁。 在整个生态系统中统一检测、预防和响应。本指南将引导你完成一个简单的端点管理方案，以便你了解在 Kibana 中创建 Elasticsearch 集群、添加数据和分析结果的基础知识。 首先，你可以在 Elastic Cloud 中创建部署或自己搭建集群，其中大部分配置会自动发生。 只需几个步骤，你将了解如何实施威胁情报来保护端点并将安全信息直接输入 Elastic Stack 以供查看和监控。

Osquery 是一个开源工具，可让你像数据库一样查询操作系统，从而为你提供对基础架构和操作系统的可见性。 使用基本的 SQL 命令，你可以询问有关设备的问题，例如服务器、Docker 容器以及运行 Linux、macOS 或 Windows 的计算机。 广泛的架构有助于处理各种用例，包括漏洞检测、合规性监控、事件调查等。使用 Kibana 中的 Osquery，你可以：为一个或多个代理运行实时查询 安排查询包以捕获操作系统状态随时间的变化 查看过去查询的历史记录及其结果 保存查询并为特定用例

osquery 是适用于 Windows、OS X (macOS) 和 Linux 的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。 osquery将操作系统公开为高性能关系数据库。 这允许你编写基于 SQL 的查询来探索操作系统数据。 使用 osquery，SQL 表表示抽象概念，例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。SQL 表是通过一个简单的插件和扩展 API 实现的。 已经存在各种表，并且正在编写更多表：https://osqu...

当为使用生产许可证运行的集群启用 Elasticsearch 安全性时，必须使用 TLS/SSL 进行传输通信，并且必须正确设置。此外，一旦启用安全性，与 Elasticsearch 集群的所有通信都必须经过身份验证，包括来自 Kibana 和/或应用程序服务器的通信。Kibana 和/或应用程序服务器向 Elasticsearch 集群进行身份验证的最简单方法是在其配置文件或源代码中嵌入用户名和密码。但是，在许多组织中，禁止在此类位置存储用户名和密码。在这种情况下，一种替代方法是使用公钥基础设施 (P

在之前我的文章 “Elastic：使用Postman来访问Elastic Stack” 中我介绍了如何在应用中访问 Elasticsearch。在那里，我们使用了最基本的 Basic authentication 的方法来访问 Elasticsearch。这种方法不好的地方就是每个用户所有的请求的验证都是一样的：使用的是同样的一个用户名及密码的 Base64 编码。在今天的文章中，我们将介绍如何创建 API key 来提供对 Elasticsearch 的访问。通过这个方法，一个用户可以动态生成无数个 AP

Elastic Security 为分析人员提供了预防，检测和响应威胁的手段。 该解决方案解决了SIEM，endpoint，威胁搜寻等安全用例，使 SecOps 团队能够收集各种数据，执行自动化和分析师驱动的分析，并通过嵌入式工作流和自动化来应对安全威胁。在今天的文章中，我将介绍如何安装 Elastic SIEM 及 EDR。在我的系统配置中，我们使用如下的结构：我有两台机器，在其中的一台机器上安装有 Elasticsearch，Filebeat及 Kibana，而在另外一台机器上安装有 en.

自从 Elastic Stack 7.6 之后，SIEM 里已经植入 Detection Engine。我们可以创建 Detection rules 来对我们感兴趣的事件进行检测。随着 Elastic Security 7.6 的发布，Elastic SIEM 看到了92条与 MITRE ATT&CK一致的威胁搜寻和安全分析检测规则。 我们还在 Elastic SIEM 中引入了信号，该功能可根据这些检测规则显示风险和严重性得分，以实现有效的分析人员分类。在之前的文章 “Elastic Secur.

EQL 的全名是Event Query Language (EQL)。事件查询语言（EQL）是一种用于基于事件的时间序列数据（例如日志，指标和跟踪）的查询语言。EQL 在 Elastic Security 中被广泛使用。EQL 的优点EQL使你可以表达事件之间的关系。 许多查询语言允许您匹配单个事件。 EQL 使你可以匹配不同事件类别和时间跨度的一系列事件。EQL的学习曲线很低。 EQL语法看起来像其他常见查询语言，例如 SQL。 EQL 使你可以直观地编...

在之前的一系列文章： Solutions：Elastic SIEM - 适用于家庭和企业的安全防护 （一）- SIEM 介绍 Solutions：Elastic SIEM - 适用于家庭和企业的安全防护 （ 二）- Elastic Stack 安装及processors的配置，Winlogbeat Solutions：Elastic SIEM - 适用于家庭和企业的安全...

在之前的这个系列文章“Solutions：Elastic SIEM - 适用于家庭和企业的安全防护 （ 三）”，我们讲到了SIEM的detections。在今天的这篇文章中，我们来讲述一下如何来创建一个rule。简单地说rule定期运行，并在指定的索引中搜索符合其条件的文档。我们在Kibana中的SIEM里打开我们的Detection tab，我们可以看到：我们可以点击Load pre...

这篇文章是我们之前文章“Elastic SIEM - 适用于家庭和企业的安全防护”系列的续集。在今天的这篇文章中，我们接着来讲述数据的导入：Auditbeat 及 Packetbeat。我们系统的配置请参阅之前的文章“Solutions：Elastic SIEM - 适用于家庭和企业的安全防护 （ 二）”。在今天的安装中，我们将把我们的Auditbeat及Packetbeat安装于Ubuntu O...

这篇文章是之前的文章“Solutions：Elastic SIEM - 适用于家庭和企业的安全防护 （ 一）”的续篇。在之前的那篇文章中，我们对Elastic SIEM做了一个简单的介绍。在这篇文章中，我们来继续之前的话题。我们来进行实操。参考【1】https...

很多人可能对SIEM这个单词很陌生。它是英文单词Security Information and Event Management的缩写。意思是安全信息及事件管理的意思。在今天的这篇文章中，我们来重点介绍Elastic SIEM。利用Elastic SIEM的速度，规模和相关性来推动您的安全操作和威胁搜寻。自Elastic Stack 7.2版本以后，Elastic 开始提供SIEM解决方案。...

Elastic 安全是在 Elastic Stack 上构建对所有人的统一保护。Elastic Security 使分析人员能够预防，检测和响应威胁。 这个免费开放的解决方案可提供SIEM，端点安全，威胁搜寻，云监视等功能。Elastic Security 由一下的两个部分组成：在上面 Security app 指的就是在 Kibana 中的 SIEM 应用，而 Endpoint 指的就是一个安装于你系统之上的一个端点代理。通过这两个部件的组合，它可以帮安全专家解决 SIEM, 端点安全，威胁搜寻.