
Security
Elastic 中国社区官方博客
Elastic 资深布道师,Elastic 认证工程师及分析师
-
原创 Security:如何安装 Elastic SIEM 和 EDR
Elastic Security 为分析人员提供了预防,检测和响应威胁的手段。 该解决方案解决了SIEM,endpoint,威胁搜寻等安全用例,使 SecOps 团队能够收集各种数据,执行自动化和分析师驱动的分析,并通过嵌入式工作流和自动化来应对安全威胁。在今天的文章中,我将介绍如何安装 Elastic SIEM 及 EDR。在我的系统配置中,我们使用如下的结构:我有两台机器,在其中的一台机器上安装有 Elasticsearch,Filebeat及 Kibana,而在另外一台机器上安装有 en.2021-02-25 14:22:40278
4
-
原创 Elasticsearch:为 Elastic Security 定制 Detection rules
自从 Elastic Stack 7.6 之后,SIEM 里已经植入 Detection Engine。我们可以创建 Detection rules 来对我们感兴趣的事件进行检测。随着 Elastic Security 7.6 的发布,Elastic SIEM 看到了92条与 MITRE ATT&CK一致的威胁搜寻和安全分析检测规则。 我们还在 Elastic SIEM 中引入了信号,该功能可根据这些检测规则显示风险和严重性得分,以实现有效的分析人员分类。在之前的文章 “Elastic Secur.2021-02-03 14:40:35282
0
-
原创 Elasticsearch:EQL 入门 - 使用 EQL 检测威胁
EQL 的全名是Event Query Language (EQL)。事件查询语言(EQL)是一种用于基于事件的时间序列数据(例如日志,指标和跟踪)的查询语言。EQL 在 Elastic Security 中被广泛使用。EQL 的优点EQL使你可以表达事件之间的关系。 许多查询语言允许您匹配单个事件。 EQL 使你可以匹配不同事件类别和时间跨度的一系列事件。EQL的学习曲线很低。 EQL语法看起来像其他常见查询语言,例如 SQL。 EQL 使你可以直观地编...2021-01-29 16:38:47640
4
-
原创 Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 五)
在之前的一系列文章: Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 (一)- SIEM 介绍 Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 二)- Elastic Stack 安装及processors的配置,Winlogbeat Solutions:Elastic SIEM - 适用于家庭和企业的安全...2020-03-26 13:44:26581
0
-
原创 Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 四)
在之前的这个系列文章“Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 三)”,我们讲到了SIEM的detections。在今天的这篇文章中,我们来讲述一下如何来创建一个rule。简单地说rule定期运行,并在指定的索引中搜索符合其条件的文档。我们在Kibana中的SIEM里打开我们的Detection tab,我们可以看到:我们可以点击Load pre...2020-03-19 14:46:34657
0
-
原创 Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 三)
这篇文章是我们之前文章“Elastic SIEM - 适用于家庭和企业的安全防护”系列的续集。在今天的这篇文章中,我们接着来讲述数据的导入:Auditbeat 及 Packetbeat。我们系统的配置请参阅之前的文章“Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 二)”。在今天的安装中,我们将把我们的Auditbeat及Packetbeat安装于Ubuntu O...2020-03-18 11:24:08679
0
-
原创 Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 二)
这篇文章是之前的文章“Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 一)”的续篇。在之前的那篇文章中,我们对Elastic SIEM做了一个简单的介绍。在这篇文章中,我们来继续之前的话题。我们来进行实操。参考【1】https...2020-03-17 13:51:191146
0
-
原创 Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 一)
很多人可能对SIEM这个单词很陌生。它是英文单词Security Information and Event Management的缩写。意思是安全信息及事件管理的意思。在今天的这篇文章中,我们来重点介绍Elastic SIEM。利用Elastic SIEM的速度,规模和相关性来推动您的安全操作和威胁搜寻。自Elastic Stack 7.2版本以后,Elastic 开始提供SIEM解决方案。...2020-03-13 14:33:221214
0
-
原创 Security:Elastic Security 入门
Elastic 安全是在 Elastic Stack 上构建对所有人的统一保护。Elastic Security 使分析人员能够预防,检测和响应威胁。 这个免费开放的解决方案可提供SIEM,端点安全,威胁搜寻,云监视等功能。Elastic Security 由一下的两个部分组成:在上面 Security app 指的就是在 Kibana 中的 SIEM 应用,而 Endpoint 指的就是一个安装于你系统之上的一个端点代理。通过这两个部件的组合,它可以帮安全专家解决 SIEM, 端点安全,威胁搜寻.2021-01-18 11:49:351482
7