fbpx

10 分鐘了解 Elastic Security 四大功能,端點、雲端安全的全面防護!

Elastic 產品資訊 2022 年 4 月 20 日 最後更新時間 : 2024 年 1 月 17 日

elastic security

Elastic Security 榮獲 2021 Gartner Peer Insights 安全事件和事件管理(SIEM) 的最佳選擇。想了解 Elastic Security 如何大大提升安全性、提供快速準確的洞察力、直觀且持續監控、偵查和響應嗎?
閱讀此文,您將深入了解 Elastic Security 的基本概念,包含 Security 四大功能(Limitless XDR、SIEM、Endpoint、Cloud)的優勢與詳細資訊。面對資訊安全的威脅,Elastic Security 將為您提供更專業的整合性的服務。
首先讓我們了解 Elastic Security 的基本概念與使用原因。 

什麼是 Elastic Security?

Elastic Security 以 Elastic Stack 的強大功能為基礎,提供端點安全防護、檢測並排除惡意軟體的威脅。Limitless XDR 整合 SIEM 及 Endpoint 預防和響應功能,即時導入日誌並預防且排除威脅,實現了安全營運現代化,並支援跨資料分析、自動化關鍵流程以及原生端點安全性。

為什麼要使用 Elastic Security?

Security 團隊長期使用 Elastic Stack 從資料中提取安性見解,使他們能夠快速發展並解決複雜的安全性問題。 
Elastic Security 在解決方案中提供 SIEM 威脅檢測功能與端點預防和應對威脅。 這些分析和保護功能,利用 Elasticsearch 的速度和可擴展性的優勢,讓分析人員能夠在損害發生前保護組織免受威脅。

Elastic Security 提供以下安全優勢和功能:

  • 用於識別攻擊和系統錯誤配置的檢測引擎
  • 用於事件分類和調查的工作區
  • 交互式視覺化,調查流程關係
  • 具有自動化操作的內建案例管理
  • 使用內建的機器學習異常工作和檢測規則,偵測非特徵碼攻擊

在了解上述基本概念後,以下段落將為您介紹 Elastic Security 的四大面向:Limitless XDR、SIEM、Endpoint、Cloud 的詳細說明與優勢。

Elastic Security 詳細解密

功能一:Limitless XDR

Extended(擴展)、Detection(監測)、Response(即時回應)
Limitless XDR 整合了 SIEM 和 Endpoint Security 的解決方案,能夠幫助客戶對所有資料進行分析,自動執行關鍵流程,並將原生的 Endpoint Security 引入每台主機。

  1. 使用 SIEM 和安全分析進行深度防禦:
    SIEM 是 Limitless XDR 解決方案的支柱,可以在「任何資料集」上「大規模」地支援安全分析,並在攻擊面中進行檢測和響應。
  2. 在每個端點上預防、收集和響應:
    透過預執行進階預防和檢測,針對進階威脅的多層運行時進行防護,使用者可以在任何操作系統上調用遠端響應的操作(如主機隔離)以簡化響應。

在 XDR 的新興市場中,Elastic 的獨特在於解決方案是無限的 (limitless)

  • Limitless Visibility
    透過一個 Agent 就能添加不同的方案及導入日誌到 Elastic 。
  • Limitless Data
    客戶可以利用 Frozen storage data 儲存以年計算的歷史數據、威脅情報、報告等,將盲點減到最低。
  • Limitless Prevention and Detection
    客戶亦可以建立適合自己環境的檢測規則、使用 Adaptive ML 模型監測威脅並降低告警疲勞、掃描並匹配檔案中的威脅情報,以找出新的漏洞攻擊標記。
  • Limitless Analysis
    Security Analyst 亦可以使用靈活的 UI、內建案例管理和一系列新興的外部自動化功能,快速做出響應。
  • Limitless Value
    Elastic Security 不會按 Agent 數目或資料量來收費。如果用戶已經訂閱 Elastic Stack,更新後即可使用新版本的功能。

功能二:SIEM

SIEM(Security Information and Event Management)能在雲端上利用任何資料源偵測、調查和回應不斷變化的威脅,並在主機層擁有更完善的管理。能夠為安全團隊提供可見性、威脅獵捕、自動檢測和安全運營中心(SOC)工作流。主要結合了SIM(security information management)和 SEM(security event management)從而減少平均檢測時間(MTTD)和平均響應時間(MTTR)。 在現代安全使用案例下,透過免費且開源的 Elastic Security 提高營運成熟度並加速擴展。

企業可以利用以下主要功能幫助分析師消除盲點:

  • 可顯示 SOC 狀態和安全狀況的概覽頁面
  • 有助於威脅獵捕和情境感知的儀表板 
  • 整合 Elastic Maps、Elastic Lens 和 Kibana 其他功能
  • 自動化檢測引擎 
  • 分析師將擁有專用調查模板的特定時間線調查器

用戶可以透過 Elastic Security 監控主機和網路的資料,快速訪問幾乎任何領域的趨勢圖,使用機器學習和實體分析,評估風險並發現潛在的安全危脅。

以下為 SIEM 的優勢:

以速度取勝

體驗 schema-on-write 的速度和 schema-on-read 的靈活性。

大規模運行

在 S3 等低成本物件儲存資料庫中保留的多年資料進行搜尋和偵查,並以 petabyte 處理資安資料,將您的搜尋帶入資料以進行全面分析。

收集時也保護資料

透過 osquery 收集主機資料並阻止惡意程式和勒索軟體

資訊安全分析

透過預先建構的資料整合,在攻擊面中實現安全分析。

建立全面概觀

使用 Elastic Common Schema (ECS) 實現統一分析來自數位網域內外的資訊。

siem-security-network

環境分析

使用儀表板監控資料,並快速訪問幾乎任何領域的趨勢圖。

screenshot-gain-visibility-into-your-environment

高保真(high-fidelity)規則自動檢測

分析攻擊者的行為,評估風險和嚴重度,對潛在威脅進行相對應的優先排序。這些檢測結果與 MITRE ATT&CK® 保持一致,定期更新公開分享

siem-detection-alerts

使用機器學習和實體 (entity) 分析評估風險

透過由預先建構的 ML 作業提供支援偵測異常,預防未知威脅。

siem-hosts-host-anomaly-detail

簡化調查、自動回應

檢查主機並在分散式端點上立即採取行動,並且透過 SOAR(資安協作自動化回應)和 ticketing 工作流程的整合保持動力。

siem-integrations-case

功能三:Endpoint Security

Elastic Endpoint Security 能提前為您阻止惡意攻擊,並預防威脅,優化檢測與回。藉由推動集中搜尋和高精確性的檢測,同時保護您的端點安全與強化 XDR,讓您隨時可以擴展與升級。

以下為  Endpoint Security 的優勢:

保護您的端點,強化 XDR

阻止惡意軟體、勒索軟體和高級威脅。在整個生態系統中統一預防、檢測和回應。

  • 阻止複雜的攻擊
  • 高精確性告警
  • 大規模回應
全面剷除威脅

透過非特徵碼預防、行為分析、集中檢測和快速而廣泛的回應來避免威脅。

  • 深入預防

保護您的 Windows、macOS 和 Linux 端點。在資料加密之前防止惡意軟體執行並阻止勒索軟體。

  • 增強 SecOps 的能見性

使用 kernel-level 資料收集和專用儀表板監控您的環境。並使用 osquery 探測主機以收集更多內容。

security-endpoint-secops-visibility

  • 高精確性偵測

透過持續將主機活動與其他環境資料相連,生成有效的吿警。從預建立的機器學習作業發現的異常開始尋找。

security-endpoint-advanced-threats

  • 快速回應

分析師透過來自終端的詳細資料進行基於主機活動的交互式視覺化檢查。進而觸發遠端回應操作,將回應工作流程與第三方協作和 ticketing 工具串連起來。

security-endpoint-triage-respond

簡化您的 security stack 並升級您的 security program

  • 無限多功:一個 agent,多個用例
  • 無限資料:無論多久的攻擊,皆能分析
  • 無限部署:隨處皆可使用
  • 無限價值:自由且開源的軟體授權

功能四:Cloud Security

Cloud Security 致力於資訊安全與隱私,包括對原生雲威脅的檢測以及對原生雲基礎設施的安全措施,旨在保護客戶的資料叢集免受未經授權的存取、修改或刪除。
此外,Elastic 仔細審查第三方供應商的同時確保強大的實體安全性控制,藉由內建邏輯安全控制,實施存取控制和日誌紀錄、提供資料可用性,並且遵循 GDPR 和 SOC 2 的營運規則進行全方位漏洞管理,保護您的帳戶。

持續的原生雲安全

原生雲安全的核心是確保根據您定義的策略建立和維護所有環境。這種配置和變更管理在雲端計算中至關重要。無論是企業建立的訂製策略,還是一組定義的策略(例如 CIS 基準),或兩者的組合,功能強大的雲端安全產品都需要提供一種簡單的方法來強制遵守這些策略。這是 build.security 擅長的領域,也是我們將共同擴展的重點。

獨步領先的雲端搜尋平台

Elastic Cloud search 支援的解決方案在 Elastic 建立的現代、靈活、可擴展、服務導向的架構上實施。 Elastic 使用其核心的 Elastic Cloud Enterprise 架構來管理這些產品。

內建邏輯與安全性控制

  • Elastic Cloud 搜尋驅動的解決方案被託管在經認證的雲端平台上,由基礎架構即服務供應商龍頭廠商管理,包括 Amazon Web Services (AWS)、Google Cloud 和 Microsoft Azure。 
  • Elastic Cloud 叢集配備了輪換密碼的 Elastic 安全功能。
  • API 存取存取僅限於 Elasticsearch API,不允許遠端存取存取 Linux 級別的實例或容器,容器無法與來自另一個叢集的容器建立通訊。

閱讀完此文,希望您對 Elastic Security 有更深入的了解。

了解更多 Elastic 相關資訊請參閱:https://www.omniwaresoft.com.tw/elastic/ 
或聯絡我們了解更多:https://www.omniwaresoft.com.tw/contactus/

相關文章

ELK PSCU Image
PSCU 透過 Elastic Stack 阻止數百萬美元的金融詐騙

PSCU 透過 Elastic Stack 的機器學習和告警功能,運用關聯分析在金融詐騙影響會員帳戶之前主動檢測並消除。並借助安全功能提供的 Kibana Spaces 和基於角色的存取控制,在高度監管的產業中分配視覺化的存取權限。此外,從安全性到可觀察性以提高客戶滿意度。

27 5 月 2022
elastic meetup
2019.09.24 Elastic meetup 面對面,聊更多!

Elastic中文社區聯合歐立威科技在9/24晚上七點,在台北舉辦線下技術交流小聚,本次活動邀請Elastic的Mike Paquette(Security entrepreneur & strategist)以及Fermi Fang(User Success Manager – APAC),分別帶來更深入的企業資訊安全及數據搜索內容。

17 9 月 2019
2023 資安大會
2023 CYBERSEC 資安大會|Elastic Security 資源包,活動時間、白皮書&文章整理、Demo 場次都在這裡!

歐立威科技代表 Elastic 再次參展 2023 資安大會!

我們準備了豐富的內容及活動要和大家分享,還沒報名的朋友趕快報名,跟著這篇文章,讓我們一起進入 Elastic Security 的世界吧!

17 4 月 2023
illustration-analytics-report
Elastic 讓金融服務企業在網路安全領先群雄的 4 個方式

隨著金融機構轉移到新型基礎設施和雲端,駭客也無所不用其極地攻擊和竊取資訊。金融服務公司有機會從被動檢測轉變為主動檢測,並持續進行監控。52% 的 CISO 在過去兩年中擴大了他們的數據隱私和合規責任。他們還熱衷於減少客戶和內部舞弊(40%),並在供應商、第三方和供應鏈管理方面發揮更大作用(36%)。

08 7 月 2022
elastic-aws-firelens
AWS FireLens 與 Elastic Cloud:用無代理 (Agentless) 資料提取加快洞察時間

AWS FireLens 是適用於 Amazon Elastic Container Service (Amazon ECS) 的容器日誌路由器 (log router):Amazon Elastic Compute Cloud (Amazon EC2) 和 AWS Fargate。

12 1 月 2022
Elastic Internal Workplace Search – 團隊觸手可及的知識

透過在整個企業範圍進行直觀好上手的搜尋、整合並劃分存取權限,且在雲端和地端連接您的所有資料源,以提高團隊生產力,並幫助企業輕鬆、安全地查找資訊。此外,任何團隊都能靈活的運用搜尋 API,高可用與高擴展性讓企業內部和員工在任何規模上都具有非凡的相關性。

03 5 月 2022
Elastic Security: Limitless XDR 單一平台解決方案

Limitless XDR 整合 SIEM 及 Endpoint 安全功能,預防、檢測和響應威脅,使用 SIEM 和安全分析進行大規模防禦,並用於跨環境分析的通用資料收集、遠端主機檢查和分佈式響應來擴展端點安全性。此外,新增 Cloud Security 的 CSPM 功能提升安全性並確保符合組織策略。

12 4 月 2022
Elastic Webinar Image
2018.05.31 Elasticsearch 搜索、分析和存儲研討會

Elasticsearch採Apache Lucene搜索和分析引擎,運用JSON文檔格式,提供近即時地存儲、全文搜索和分析數據。Elasticsearch兼俱高可擴充性(Scalability)與可用性(Availability)的特質,與資料處理效能高,近年來深受企業推崇和採用。

16 5 月 2018
Cisco-Logo
Elasticsearch ㄧ 思科(Cisco Systems, Inc.)

思科系統公司成立於1984年,主要產品包括:寬頻有線產品、板卡和模組、IOS軟體、內容網路、網路管理、光纖平台、路由器、網路安全產品與VPN裝置、網路儲存產品、交換機、影片系統、IP通訊系統、無線產品。

23 1 月 2018
Elastic APM 架構
Elastic APM 是什麼 ? 效能監控功能介紹、基本架構與4種事件類型、2個應用場景,看這篇就夠了!

Elastic APM 是一個強大的監測工具,可幫助開發人員即時追蹤應用程式和服務的效能。尤其是當應用程式在高度分佈式的基礎架構上運行時,APM 監控服務更是重要,透過 APM 可以輕鬆排除故障、管理效能、優化資源分配,確保服務高效運行。

29 3 月 2023
illustrated-screenshot-web-crawler-kibana
Elasticsearch 的幕後推手 – Elastic web crawler

Elastic web crawler 一種快速索引網站所有內容的方式。您只需告訴它要掃描網站上哪些部分,它就會完成所有索引網站內容的繁重工作,並自動重新抓取並保持內容同步。此外 Elastic web crawler 非常容易使用,無需編寫程式就可在直觀的用戶介面上控制爬蟲。

12 12 月 2021
HashiCorp Vault Image
HashiCorp Vault – 零信任,每件事都要驗證身分與授權

HashiCorp 的以身分辨識為基礎的安控及存取機制,為企業安全地將基礎設施、應用系統、以及資料轉移到雲環境中,打下了堅實的基礎。

20 8 月 2021
blog-kubernetes-prometheus-fluentd
ELK Stack – 使用 Prometheus 和 Fluentd 監控 Elastic Stack 中的 Kubernetes

Elasticsearch、Fluentd 和 Kibana 的日誌監控解決方案稱為 EFK Stack。Prometheus 是眾所皆知的開源工具,特別是在最近 Kubernetes 環境的指標監測方面有主導地位。Fluentd 是開源日誌收集工具,類似 Elastic Stack 中的 Logstash

22 2 月 2022
Noble-Group-Logo
Elastic Search 成功案例–來寶集團 (Noble Group)

來寶集團 (Noble Group),是一家總部位於香港,但在百慕達註冊,在新加坡股票上市的企業集團。主要業務涉及多種自然資源和原材料運輸及加工。eg. 棉花、穀物、咖啡、煤炭、鐵礦石、鋼材、鋁材以及清潔油品等。

23 1 月 2018
913 Elastic AI Assistant
《歐立威科技 2023 研討會》9/13 | Elastic AI Assistant 介紹: 解析日誌和資安告警的神器,再也不用問 ChatGPT!

Elastic AI Assitant 是開放式生成 AI,可應用於 Observability、Security 等不同情境。如解釋日誌內容、告警事件的說明、情資匹配、建議處理措施、檢查資料品質、自動生成 SIEM 的 EQL 語法…等。本次活動將介紹 Elastic AI Assistant 設定、部署、優點及應用情境與使用心得,讓你快速上手 Elastic 最新的 AI 工具!

25 8 月 2023