Security
文章平均质量分 94
Elastic 中国社区官方博客
Elastic 首席布道师,Elastic 认证工程师,认证分析师,认证可观测性工程师,阿里云最有价值专家
展开
-
Elastic 在 IDC MarketScape:2024 年全球企业 SIEM 报告中被评为领导者
Elastic 在 IDC MarketScape 2024 年企业 SIEM 供应商评估中被评为领导者。Elastic Security 利用的未来)实现威胁检测、调查和响应的现代化。它是 SOC 团队的首选工具,因为它可以消除盲点、提高从业人员的工作效率并加速 SecOps 工作流程。原创 2024-09-29 10:13:51 · 827 阅读 · 0 评论 -
用于安全研究的 Elastic Container Project
Elastic Stack 是一个模块化数据分析生态系统。虽然这允许工程灵活性,但建立开发实例进行测试可能很麻烦。建立 Elastic Stack 的最简单方法是使用 Elastic Cloud - 这是完全一站式的。但是,在某些情况下,Elastic Cloud 可能不适用于你的测试环境。为了帮助解决这个问题,本博客将为你提供必要的信息,以便快速轻松地建立本地、完全容器化、TLS 安全的 Elastic Stack,并启用 Fleet 和检测引擎。你将能够创建 Fleet 策略,在本地主机或 VM 上原创 2024-09-13 21:38:44 · 1435 阅读 · 0 评论 -
通过 Express Migration 轻松迁移到 Elastic 的 AI 驱动日志分析
Elastic 提供 AI 驱动的日志分析,并提供激励措施以加速从 Splunk 等传统日志供应商进行的日志迁移运营团队面临着一个充满挑战的环境:在数据量呈指数级增长的复杂、分布式、云原生环境中防止停机,同时避免成本失控。SRE 需要准确且具有上下文可观察性的见解来解决问题并确保弹性。建立在 Search AI 之上,通过基于 RAG 的 Elastic AI Assistant 的上下文见解提供。原创 2024-08-08 16:44:58 · 1077 阅读 · 0 评论 -
Elastic Security 在 AV-Comparatives 的恶意软件防护测试中表现出色
针对真实恶意软件提供 100% 防护,零误报Elastic Security 在最近的 AV-Comparatives 恶意软件防护测试中取得了显著的成绩,防护率达到 100%,且对真实恶意软件样本无误报。这项独立评估凸显了我们致力于提供世界一流的恶意软件防护,实现零误报和零用户影响。原创 2024-06-03 12:08:45 · 1014 阅读 · 0 评论 -
Elastic 通过 AI 驱动的安全分析改变 SIEM 格局
传统的安全信息与事件管理系统(SIEM)在很大程度上依赖屏幕背后的人类才能取得成功。警报、仪表盘、威胁猎杀以及在信号洪流中找到上下文,所有这些都需要大量的人力。搜索人工智能将颠覆这一旧模式,并将传统的 SIEM 替换为适用于现代安全运营中心的人工智能驱动的安全分析解决方案。想象一下,一个系统可以筛选所有的数据,忽略噪音并识别出关键信息,发现特定的攻击,并制定具体的修复措施。Elastic Search AI 平台支持的 Elastic Security 正在实现这一进化,用人工智能取代了配置、调查和响应原创 2024-05-07 17:08:52 · 1323 阅读 · 10 评论 -
追溯历史:SIEM 中的生成式人工智能革命
网络安全领域仿佛是现实世界的一个映射,安全运营中心(security operation center - SOC)就像是你的数字警察局。网络安全分析师就像是警察,他们的工作是阻止网络犯罪分子对组织发起攻击,或者在他们尝试攻击时将其阻止。当发生攻击时,类似于数字侦探的事件响应人员会从多个不同的来源收集线索,以确定事件的顺序和细节,然后制定补救计划。为了实现这一目标,团队需要将许多(有时是数十个)产品结合起来,以确定攻击的全貌并识别如何在业务遭受损失和损害之前停止威胁。原创 2024-04-17 14:56:09 · 1384 阅读 · 0 评论 -
Elastic:5 个原因解释为什么可观察性和安全性能够很好地协同工作
网站可靠性工程师(site reliability engineers - SREs)和安全分析师 (security analysts) —— 尽管担任着非常不同的角色 —— 分享了许多相同的目标。他们都采用主动监控和事件响应策略来识别和解决潜在问题,以避免这些问题影响服务。他们同样都将组织的稳定性和韧性作为优先事项,旨在最小化停机时间和中断。原创 2024-04-10 08:23:19 · 806 阅读 · 0 评论 -
Elasticsearch:将文档级安全性 (DLS) 添加到你的内部知识搜索
你的企业很可能淹没在内部数据中。你拥有问题跟踪、笔记记录、会议记录、维基页面、视频录制、聊天以及即时消息和私信。并且不要忘记电子邮件!难怪如此多的企业都在尝试创造工作场所搜索体验 - 为员工提供集中、一站式的内部信息搜索服务。通过 Elastic 的连接器()目录,这相对容易做到。但是,当你将所有数据编入索引并准备好进行搜索后,如何确保其安全?毕竟,苔丝(来自工程部门)不应该查看鲍勃(来自人力资源部门)关于绩效评估的笔记。原创 2024-02-01 17:06:15 · 1604 阅读 · 2 评论 -
Elasticsearch:如何创建 Elasticsearch PEM 和/或 P12 证书?
你是否希望使用 SSL/TLS 证书来保护你的 Elasticsearch 部署?在本文中,我们将指导你完成为 Elasticsearch 创建 PEM 和 P12 证书的过程。这些证书在建立安全连接和确保 Elasticsearch 集群的完整性方面发挥着至关重要的作用。友情提示:你可以选择其中一种方法来在你的环境中创建和使用证书。原创 2023-08-08 12:40:52 · 5052 阅读 · 0 评论 -
开放的安全影响:Elastic AI Assistant
在过去的几年里,我们一直在讨论的好处,即向公众提供对我们的检测和预防功能、代码、文档等详细信息的访问,这将增强我们能够为客户提供的安全功能。在本博客中,我们将探讨我们的开放安全计划对 Elastic Security 社区产生影响的一些最新方式,特别是关于生成式 AI 和大型语言模型 (LLM) 的始终存在的主题,例如和提供的主题。原创 2023-07-20 12:53:48 · 543 阅读 · 0 评论 -
Elastic 在 2022 年 Gartner® 洞察力引擎魔力象限™ 中被评为领导者
我们很高兴地宣布,Elastic 在 2022 年 Gartner® 洞察力引擎魔力象限™ 中被评为领导者。 这是我们第二年入选 Gartner 魔力象限,今年的评估将 Elastic 列为 “Completeness of Vison” 轴上最远的公司。 我们认为,这个位置、我们的市场势头和我们的愿景实力是由两个基本面驱动的结果翻译 2022-12-19 11:56:47 · 458 阅读 · 0 评论 -
Security:在 SIEM 上运用 Elastic Security
Elastic Security 将 Elastic SIEM(其检测引擎可自动检测威胁,以便快速调查和响应威胁)与 Endpoint Security 结合到一个解决方案中,从而统一整个网络的预防、检测和响应。本教程将引导你设置集成,以便你可以从主机收集数据。首先,你将网络数据包捕获集成添加到代理策略,然后你将在主机上部署 Elastic Agent 以收集网络数据包捕获数据。Elastic 的集成不仅提供了一种添加新数据源的简单方法,原创 2022-11-09 15:00:34 · 722 阅读 · 0 评论 -
Security:使用来自 Elastic Security 的端点威胁情报保护主机
超越阻止恶意软件、勒索软件和高级威胁。 在整个生态系统中统一检测、预防和响应。本指南将引导你完成一个简单的端点管理方案,以便你了解在 Kibana 中创建 Elasticsearch 集群、添加数据和分析结果的基础知识。 首先,你可以在 Elastic Cloud 中创建部署或自己搭建集群,其中大部分配置会自动发生。 只需几个步骤,你将了解如何实施威胁情报来保护端点并将安全信息直接输入 Elastic Stack 以供查看和监控。原创 2022-11-08 14:57:30 · 1881 阅读 · 5 评论 -
Elasticsearch:使用 osquery 和 Elastic Stack 来监控你的端点
Osquery 是一个开源工具,可让你像数据库一样查询操作系统,从而为你提供对基础架构和操作系统的可见性。 使用基本的 SQL 命令,你可以询问有关设备的问题,例如服务器、Docker 容器以及运行 Linux、macOS 或 Windows 的计算机。 广泛的架构有助于处理各种用例,包括漏洞检测、合规性监控、事件调查等。使用 Kibana 中的 Osquery,你可以:为一个或多个代理运行实时查询 安排查询包以捕获操作系统状态随时间的变化 查看过去查询的历史记录及其结果 保存查询并为特定用例原创 2022-04-28 20:54:09 · 2182 阅读 · 0 评论 -
Security:osquery 介绍
osquery 是适用于 Windows、OS X (macOS) 和 Linux 的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。 osquery将操作系统公开为高性能关系数据库。 这允许你编写基于 SQL 的查询来探索操作系统数据。 使用 osquery,SQL 表表示抽象概念,例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。SQL 表是通过一个简单的插件和扩展 API 实现的。 已经存在各种表,并且正在编写更多表:https://osqu...原创 2022-04-28 13:35:20 · 4223 阅读 · 0 评论 -
Elasticsearch:配置 TLS/SSL 和 PKI 身份验证
当为使用生产许可证运行的集群启用 Elasticsearch 安全性时,必须使用 TLS/SSL 进行传输通信,并且必须正确设置。此外,一旦启用安全性,与 Elasticsearch 集群的所有通信都必须经过身份验证,包括来自 Kibana 和/或应用程序服务器的通信。Kibana 和/或应用程序服务器向 Elasticsearch 集群进行身份验证的最简单方法是在其配置文件或源代码中嵌入用户名和密码。但是,在许多组织中,禁止在此类位置存储用户名和密码。在这种情况下,一种替代方法是使用公钥基础设施 (P原创 2021-10-08 10:56:22 · 7035 阅读 · 6 评论 -
Elasticsearch:创建 API key 接口访问 Elasticsearch
在之前我的文章 “Elastic:使用Postman来访问Elastic Stack” 中我介绍了如何在应用中访问 Elasticsearch。在那里,我们使用了最基本的 Basic authentication 的方法来访问 Elasticsearch。这种方法不好的地方就是每个用户所有的请求的验证都是一样的:使用的是同样的一个用户名及密码的 Base64 编码。在今天的文章中,我们将介绍如何创建 API key 来提供对 Elasticsearch 的访问。通过这个方法,一个用户可以动态生成无数个 AP原创 2020-07-07 15:22:47 · 10708 阅读 · 7 评论 -
Security:如何安装 Elastic SIEM 和 EDR
Elastic Security 为分析人员提供了预防,检测和响应威胁的手段。 该解决方案解决了SIEM,endpoint,威胁搜寻等安全用例,使 SecOps 团队能够收集各种数据,执行自动化和分析师驱动的分析,并通过嵌入式工作流和自动化来应对安全威胁。在今天的文章中,我将介绍如何安装 Elastic SIEM 及 EDR。在我的系统配置中,我们使用如下的结构:我有两台机器,在其中的一台机器上安装有 Elasticsearch,Filebeat及 Kibana,而在另外一台机器上安装有 en.原创 2021-02-25 14:22:40 · 5621 阅读 · 13 评论 -
Elasticsearch:为 Elastic Security 定制 Detection rules
自从 Elastic Stack 7.6 之后,SIEM 里已经植入 Detection Engine。我们可以创建 Detection rules 来对我们感兴趣的事件进行检测。随着 Elastic Security 7.6 的发布,Elastic SIEM 看到了92条与 MITRE ATT&CK一致的威胁搜寻和安全分析检测规则。 我们还在 Elastic SIEM 中引入了信号,该功能可根据这些检测规则显示风险和严重性得分,以实现有效的分析人员分类。在之前的文章 “Elastic Secur.原创 2021-02-03 14:40:35 · 2269 阅读 · 0 评论 -
Elasticsearch:EQL 入门 - 使用 EQL 检测威胁
EQL 的全名是Event Query Language (EQL)。事件查询语言(EQL)是一种用于基于事件的时间序列数据(例如日志,指标和跟踪)的查询语言。EQL 在 Elastic Security 中被广泛使用。EQL 的优点EQL使你可以表达事件之间的关系。 许多查询语言允许您匹配单个事件。 EQL 使你可以匹配不同事件类别和时间跨度的一系列事件。EQL的学习曲线很低。 EQL语法看起来像其他常见查询语言,例如 SQL。 EQL 使你可以直观地编...原创 2021-01-29 16:38:47 · 6486 阅读 · 6 评论 -
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 五)
在之前的一系列文章: Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 (一)- SIEM 介绍 Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 二)- Elastic Stack 安装及processors的配置,Winlogbeat Solutions:Elastic SIEM - 适用于家庭和企业的安全...原创 2020-03-26 13:44:26 · 1594 阅读 · 0 评论 -
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 四)
在之前的这个系列文章“Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 三)”,我们讲到了SIEM的detections。在今天的这篇文章中,我们来讲述一下如何来创建一个rule。简单地说rule定期运行,并在指定的索引中搜索符合其条件的文档。我们在Kibana中的SIEM里打开我们的Detection tab,我们可以看到:我们可以点击Load pre...原创 2020-03-19 14:46:34 · 1736 阅读 · 0 评论 -
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 三)
这篇文章是我们之前文章“Elastic SIEM - 适用于家庭和企业的安全防护”系列的续集。在今天的这篇文章中,我们接着来讲述数据的导入:Auditbeat 及 Packetbeat。我们系统的配置请参阅之前的文章“Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 二)”。在今天的安装中,我们将把我们的Auditbeat及Packetbeat安装于Ubuntu O...原创 2020-03-18 11:24:08 · 1896 阅读 · 0 评论 -
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 二)
这篇文章是之前的文章“Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 一)”的续篇。在之前的那篇文章中,我们对Elastic SIEM做了一个简单的介绍。在这篇文章中,我们来继续之前的话题。我们来进行实操。参考【1】https...原创 2020-03-17 13:51:19 · 2792 阅读 · 0 评论 -
Solutions:Elastic SIEM - 适用于家庭和企业的安全防护 ( 一)
很多人可能对SIEM这个单词很陌生。它是英文单词Security Information and Event Management的缩写。意思是安全信息及事件管理的意思。在今天的这篇文章中,我们来重点介绍Elastic SIEM。利用Elastic SIEM的速度,规模和相关性来推动您的安全操作和威胁搜寻。自Elastic Stack 7.2版本以后,Elastic 开始提供SIEM解决方案。...原创 2020-03-13 14:33:22 · 3564 阅读 · 0 评论 -
Security:Elastic Security 入门
Elastic 安全是在 Elastic Stack 上构建对所有人的统一保护。Elastic Security 使分析人员能够预防,检测和响应威胁。 这个免费开放的解决方案可提供SIEM,端点安全,威胁搜寻,云监视等功能。Elastic Security 由一下的两个部分组成:在上面 Security app 指的就是在 Kibana 中的 SIEM 应用,而 Endpoint 指的就是一个安装于你系统之上的一个端点代理。通过这两个部件的组合,它可以帮安全专家解决 SIEM, 端点安全,威胁搜寻.原创 2021-01-18 11:49:35 · 6131 阅读 · 15 评论