탄력적 보안 사용

탄력적 보안 사용

Elastic Security는 보안 분석가를 위해 설계된 고도의 대화 형 작업 공간입니다. 사용자 환경의 이벤트 및 경고에 대한 명확한 개요를 제공하며 대화 형 UI를 사용하여 관심 영역으로 드릴 다운 할 수 있습니다.

호스트

호스트 페이지는 호스트 관련 보안 이벤트와 관련된 주요 지표, 타임 라인 이벤트 뷰어와 상호 작용할 수있는 데이터 테이블 및 히스토그램을 제공합니다. 더 깊은 통찰력을 얻기 위해 드릴 다운하고 추가 조사를 위해 호스트 페이지에서 타임 라인으로 관심 항목을 끌어다 놓을 수 있습니다.

회로망

네트워크 페이지는 대화 형 맵에 주요 네트워크 활동 지표를 표시하고 타임 라인과 상호 작용할 수있는 네트워크 이벤트 테이블을 제공합니다.

감지 (베타)

탐지 기능은 위협을 자동으로 검색하고 탐지되면 경고를 생성합니다. 탐지 규칙은 경고가 생성되는 조건을 정의합니다. Elastic Security는 네트워크 및 호스트에서 의심스러운 활동을 검색하는 사전 구축 된 규칙과 함께 제공됩니다. 또한 고유 한 규칙을 만들 수 있습니다.

탐지 규칙 및 경고 관리에 대한 자세한 내용은 탐지 를 참조하십시오 .

Cases (베타)

사례는 Elastic Security에서 직접 보안 문제를 열고 추적하는 데 사용됩니다. 사례에는 원래보고자와 사례에 기여한 모든 사용자가 나열됩니다 ( participants). 케이스 댓글은 마크 다운 구문을 지원하며 저장된 타임 라인에 연결할 수 있습니다. 또한 Elastic Security 내에서 외부 시스템으로 케이스를 보낼 수 있습니다.

케이스 열기, 업데이트 및 닫기에 대한 정보 는 Elastic 보안 가이드의 케이스 를 참조하십시오 .

타임 라인

타임 라인은 위협 사냥 및 경보 조사를위한 작업 공간입니다.

관심있는 개체를 타임 라인 이벤트 뷰어로 끌어서 필요한 쿼리 필터를 정확하게 만들 수 있습니다. 호스트 및 네트워크 페이지 내의 테이블 위젯 또는 타임 라인 자체에서 항목을 드래그 할 수 있습니다.

타임 라인은 응답 성이 있으며 Elastic Security에서 데이터를 수집하는 동안 지속됩니다.

타임 라인에 대한 자세한 내용은 타임 라인에서 이벤트 조사를 참조하십시오 .

샘플 워크 플로우

분석가는 추가 조사가 필요한 의심스러운 사용자 ID를 발견하고 Elastic Security로 연결되는 URL을 클릭합니다.

분석가는 Elastic Security의 테이블, 히스토그램, 필터링 및 검색 기능을 사용하여 경보의 맨 아래에 도달합니다. 분석가는 추가 분석을 위해 관심 항목을 타임 라인으로 끌어 올 수 있습니다.

타임 라인 내에서 분석가는 드릴 다운, 검색 및 필터링을 추가로 조사하고 메모를 추가하고 관심있는 항목을 고정 할 수 있습니다.

분석가는 타임 라인의 이름을 지정하고 요약 메모를 작성하며 적절한 경우 다른 사람들과 공유 할 수 있습니다.