- 1微信小程序小数加减处理 小数计算误差解决办法_小程序小数相加结果异常
- 2《我学区块链》—— 九、ERC20智能合约_写个erc20合约
- 3IIS安全和NTFS分区安全_iis 与 nt service 谁更稳定
- 4元宇宙iwemeta: 重庆打造“数据之都”,拟成立重庆数据交易所_重庆市数据资产评估中心
- 5Visual Studio Code如何连接Gitee仓库进行代码管理——详细步骤_vscode连接gitee
- 6以太坊的数据结构(状态树、交易树、收据树)及代码分析
- 7基于 YOLOv5 的疲劳驾驶预警系统:保障行车安全的创新技术_yolo疲劳检测
- 8C语言零基础学习笔记11——分支和循环(五)
- 9初阶数据结构—算法的时间复杂度和空间复杂度
- 10269:vue+openlayers 利用 MultiPoint 显示多点_openlayers multipoint
Elastic Security 8 / Elastic EDR 8安装_elastic defend
赞
踩
Elastic Security在一个解决方案中将SIEM威胁检测功能与端点防护和响应功能结合在一起。这些分析和保护功能为从事网络安全人员提供了预防,检测和响应威胁的手段,使分析人员能够在损失和损失发生之前保护组织免受威胁。
通过互联网搜集资料,搜集到详细搭建文章:《Security:如何安装 Elastic SIEM 和 EDR》(https://zhuanlan.zhihu.com/p/660043906)。该文章是基于7.0版本的Elastic stack在Ubuntu系统上搭建,相比最新的Elastic8,已经有些过时,同时Elastic8的安全配置操作相比Elastic7简单,本文演示的基于目前最新版的Elastic stack8.12.2在windows10上进行搭建,大家也可根据自己的需要在MAC OS或Ubuntu系统上搭建,不同操作系统上搭建方法流程基本相同,只是具体执行时的解压、安装等命令和执行命令的目录稍有不同。
一、下载Elasticsearch、Kibana最新安装包
https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.12.2-windows-x86_64.zip
https://artifacts.elastic.co/downloads/kibana/kibana-8.12.2-windows-x86_64.zip
二、安装Elasticsearch
解压缩elasticsearch-8.12.2-windows-x86_64.zip到C盘
进入安装目录elasticsearch-8.12.2\bin
双击elasticsearch.bat启动服务
第一次运行会自动配置并显示出以下重要信息需要记下 ,后面会使用到
1.超级用户elastic的密码 PwV5lQDZJK8MbJKCy-+2
2.http ca指纹和配置kinaba的enrollment token
三、安装Kibana
解压缩kibana-8.12.2windows-x86_64.zip到C盘
进入安装目录kibana-8.12.2\bin,双击kibana.bat启动服务
显示出配置地址 http://localhost:5601/?code=418900
将上一步安装elasticsearch生成kinaba的enrollment token输入后点击配置
本次搭建配置时发现过期(超过30分钟)
进入elasticsearch的bin目录输入以下命令重新生成enrollment-token
./bin/elasticsearch-create-enrollment-token.bat -s kibana --url "https://127.0.0.1:9200"
输入新产生的enrollment-token开始配置
安装完成后输入超级管理员用户名密码
如需修改超级用户elastic的密码:
在elasticsearch-8.12.2\bin目录下运行elasticsearch-reset-password -i -u elastic
kibana默认只能本地访问,若需要被其他ip主机访问和显示中文,修改安装目录下config/kibana.yml文件,添加如下配置后保存
server.host: "0.0.0.0"
i18n.locale: "zh-CN"
重新启动kibana并登录
四、配置 Fleet
点击左侧菜单栏 ->management->Fleet
在打开的Fleet界面中点击添加 Fleet 服务器
填入名称和Fleet Server的URL,默认为8220端口
配置完成后点继续,根据自己需要查看不同操作系统下Fleet Server安装方法
本实验本地windows系统上安装,请注意上述安装命令必须在管理员权限下的powershell上运行
出现错误fleet-server failed: context canceled
解决:需要重新配置代理策略
代理策略配置完成后,重新安装,连接成功
连接成功后,查看主机运行状态
如需添加代理主机,点击添加代理,查看代理安装方法:
在代理主机上运行,需要加--insecure参数,agent安装成功:
agent安装成功后运行状态查看
五、安全检测配置
在代理策略中添加集成
在安全项目栏下按需选择
本实验添加Elastic Defend 和Network Packet Capture
agent策略安装配置完成后查看安全界面 ,需要配置kibana.yml文件
在kaibana/bin目录下运行kibana-encryption-keys generate
将生成的key保存到kibana.yml重启服务
重启服务后查看安全界面下规则栏,点击添加规则
点击全部安装
安装完成
六、安全检测测试
在agent主机上下载接mimikatz
在elastic的安全栏告警界面中成功看到报警
上述Elastic Defend默认为防御模式,识别为恶意软件后会删除对应二进制程序,若只需检测恶意行为不删除对应二进制程序,可在Fleet的代理策略中编辑Elastic Defend集成
在新打开的页面中,修改为检测模式后保存集成
重新解压运行mimikatz,mimikatz未被清除
在elastic的安全栏告警界面中成功看到对应报警
