Elastic 安全集成生态系统季度回顾
安全团队只能保护他们能看到的东西。覆盖范围的空白,如 macOS 机群产生的日志从未到达 SIEM、电子邮件网关孤立运行,或云环境产生的结果被孤立地保存在供应商控制台中,这些都很容易被攻击者利用。
Elastic 的解决方案是对第三方集成进行持续、开放的投资,其信念是:强大的安全生态系统需要深度集成,使堆栈中每个角落的数据都可被搜索和上下文化。今天,我们宣布了 Elastic Security 的九项新集成,涵盖云安全、端点可见性、电子邮件威胁检测、身份识别和 SIEM。
每个集成都随附可对数据进行规范化和结构化的摄取管道,以及作为可视化和分析的直接起点的预建仪表板,因此团队从第一天起就可以对新数据源进行搜索、关联和调查,而无需编写或维护解析器。
macOS 安全事件
Elastic Defend 是提供 Elastic Endpoint Security 的本机集成,可在 macOS 上收集丰富的安全遥测数据,它有意将重点放在高价值的检测信号上,而不是全面的系统审计。登录和注销事件、账户创建和删除、服务注册变更和应用程序诊断日志都不在此范围内,这让威胁猎手和投资者关系团队无法获得完整的 macOS 上下文。macOS 安全事件集成与 Elastic Defend 相辅相成,通过 Windows 事件日志集成为 Windows 设备提供了相同深度的操作系统级可视性。
MacOS 端点会为每个端点生成数以万计的统一日志条目。如果不加以过滤,这种音量会产生噪音而不是信号。这种集成配备了基于预测的过滤器,可将摄取范围扩大到与安全相关的事件:身份验证活动、进程执行、网络连接、文件系统更改和系统配置修改。
这些基于预判的筛选器可实现全面的 macOS 覆盖,而无需花费成本或复杂地摄取所有内容。这些事件一旦被摄取,Elastic Security 的人工智能助理就能立即使用。分析师可以提出自然语言问题,如"向我显示过去 24 小时内 macOS 端点上的所有权限升级尝试" 或"总结该主机的登录失败情况",从而将原始的统一日志条目转化为可操作的调查上下文,而无需编写任何查询。
查看macOS 安全事件集成。
IBM QRadar
对于同时运行 IBM QRadar 和 Elastic Security 的团队来说,将警报摄入 Elastic 变得更加容易。QRadar 集成从 QRadar 的攻击和规则端点收集攻击记录,用触发规则的名称、ID、类型和所有权丰富每个警报,这样分析人员就可以在 Elastic 中进行分流,而无需切换回 QRadar。
这种集成是 Elastic 为 QRadar 提供 SIEM 迁移工作流程的基础,它与Splunk 已经具备的功能如出一辙。团队还可以使用自动迁移功能将 QRadar 规则迁移到 Elastic 中。它使用语义搜索和生成式人工智能将现有规则映射到 Elastic 的 1,300 多种预构建检测中,并将不能直接映射到 ES|QL 的内容进行翻译,使您能够整合 SIEM 的足迹,而无需手动重建整个检测库。
查看IBM QRadar集成。
Proofpoint Essentials
对于企业客户,Proofpoint 的 TAP(目标攻击保护)已可在 Elastic 中使用。为了向中小企业环境以及为其提供服务的 MSP 和 MSSP 提供同样的电子邮件威胁可见性,Proofpoint Essentials 现已上市。
Proofpoint Essentials 集成可将四种事件类型流式传输到 Elastic Security 中:
- 被阻止的恶意 URL 点击次数
- 允许的点击次数
- 因包含 URL Defense 或 Attachment Defense 识别的威胁而被阻止的邮件
- 尽管包含这些威胁,但还是发送了信息
为了方便地显示这些数据,我们提供了两个预制仪表盘:
对于中小型企业的 SOC 团队来说,这意味着网络钓鱼尝试、恶意软件检测和策略违规与其他安全遥测数据在同一平台上,无需切换平台就能了解威胁的全部情况。
AWS 安全中心
AWS Security Hub 会汇总整个 AWS 环境中的发现,但调查这些发现意味着要留在 AWS 控制台内,与团队的其他安全数据分开。Elastic 集成改变了这一状况,它以开放式网络安全模式框架 (OCSF) 格式将安全中心的发现拉入 Elastic,并将其规范化为 ECS,提供模式一致的数据,可立即通过 ES|QL 进行搜索。
调查结果会出现在 "弹性漏洞发现"页面,将 AWS 云安全态势直接集成到已有的工作流程中。从这里,您可以将 Security Hub 数据与其他来源的信号(端点警报、身份事件、网络遥测)关联起来,从而更全面地了解整个 AWS 环境的风险,并以比本机控制台更快的速度进行调查。
查看AWS Security Hub集成。
更多新的弹性安全集成
除上述特色集成外,现在还可使用以下集成,每个集成都带有预建仪表板,可立即发挥价值:
- JupiterOne:资产情报和云攻击面监控,利用 MITRE ATT&CK 映射和 CVSS 分数以及主机上下文,摄取跨工具警报、CVE 发现和威胁检测,以实现统一的风险可见性。
- Airlock Digital:应用程序允许列表和执行控制遥测,捕获带有命令行、文件哈希值和发布者上下文的受阻进程执行,因此未经授权的执行尝试是可见的,并可与端点检测的其他内容相关联。
- 岛屿浏览器:企业浏览器安全事件涵盖用户导航、设备状态、受损凭证检测和管理活动,将 Elastic 的可视性扩展到无法部署传统端点代理的 BYOD 和非托管设备。
- Ironscales:人工智能驱动的网络钓鱼检测事件可捕获电子邮件元数据、发件人信誉、受影响邮箱数量和可疑链接,并与端点和身份数据相关联,以加快调查和响应速度。
- Cyera:数据安全态势管理事件,揭示敏感数据风险,包括暴露严重程度、受影响记录数量、违反合规性框架的情况以及跨云环境的数据存储所有权,使敏感数据暴露不再孤立于单独的 DSPM 控制台。
准备工作
这些集成是 Elastic 的开放式安全方法。本综述中的所有九个集成都带有预建仪表盘和本地 ECS 映射,无需额外设置或自定义可视化工作,即可为您的团队提供即时可见性。
此后,Elastic 更广泛的检测和调查功能可立即使用调查结果、警报和日志:攻击发现(用于发现多阶段威胁)、人工智能助理(用于自然语言调查和引导响应)以及 ES|QL 和 EQL(用于自定义检测和猎杀查询)。
有问题或反馈?加入Elastic Stack 社区 Slack 中的 #security-siem。