탄력적 인 보안
Elastic Security는 SIEM 위협 감지 기능과 엔드 포인트 방지 및 대응 기능을 하나의 솔루션으로 결합합니다.
- 공격 및 시스템 구성 오류를 식별하는 탐지 엔진
- 이벤트 분류 및 조사를위한 작업 공간
- 프로세스 관계를 조사하기위한 대화 형 시각화
- 내장 된 케이스 관리 및 자동화 된 조치
- 사전 구축 된 기계 학습 이상 작업 및 탐지 규칙으로 시그니처없는 공격 탐지
데이터 추가
Kibana는 데이터를 추가하는 데 도움이되는 단계별 지침을 제공합니다. 보안 가이드 더 자세한 정보와 지침에 대한 좋은 소스입니다.
비트
Auditbeat , Filebeat , Winlogbeat 및 Packetbeat 는 보안 이벤트 및 기타 데이터를 Elasticsearch로 보냅니다.
탄성 보안 이벤트에 대한 기본 인덱스 패턴은 auditbeat-*, winlogbeat-*, filebeat-*, packetbeat-*, endgame-*, logs-*,와 apm-*-transaction*. 기본 패턴 패턴을 변경하려면 스택 관리> 고급 설정> securitySolution : defaultIndex로 이동하십시오 .
Elastic Security 엔드 포인트 에이전트
이 에이전트는 맬웨어를 감지 및 보호하고 호스트 및 네트워크 이벤트를 Elastic Security로 직접 전달합니다.
데이터 정규화를위한 ECS (Elastic Common Schema)
탄성 공통 스키마 (ECS)의 필드의 공통 세트 Elasticsearch 이벤트 데이터를 저장하기 위해 사용되는 정의한다. ECS는 사용자가 이벤트 데이터를 정규화하여 이벤트에 표시된 데이터를 더 잘 분석, 시각화 및 연관시킬 수 있도록 도와줍니다.
Elastic Security는 ECS 호환 데이터 소스에서 이벤트를 수집하고 정규화 할 수 있습니다.