如何安装Elastic SIEM和Elastic Endpoint Security

最新推荐文章于 2025-07-19 14:31:01 发布
原创 最新推荐文章于 2025-07-19 14:31:01 发布 · 1.7w 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SIEM #终端安全

本文详细介绍了如何安装和配置Elastic SIEM及Endpoint Security,包括网络设计、配置X-Pack SSL、添加身份验证、数据摄入以及安装Endpoint Security代理。通过遵循此教程,读者可以设置一个具备日志提取、可视化、检测功能的Elastic Stack,并能安装和验证Endpoint Security代理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

目录

网络设计

配置X-Pack

配置Elasticsearch SSL

配置Kibana SSL

配置Beats(Zeek)SSL

添加身份验证

向Elasticsearch添加数据

启用检测

安装Elastic EDR代理

安装证书

安装代理

结论

资源资源

最近几个月,Elastic Stack发生了很多变化,并发布了许多免费的安全工具。由Comodo和Elastic Endpoint Security发布的OpenEDR。因此,我认为现在是查看Elastic的更改并尝试其新Endpoint Security的好时机。因此,对于这篇文章,我将展示如何从头开始安装Elastic SIEM和Elastic Endpoint Security。

网络设计

下面是此帖子的非常简单的网络图。ELK在ESXi上托管的Ubuntu 20.04服务器上运行。Zeek也在Ubuntu 20.04服务器上运行,并且交换机上的端口已镜像到ESXi服务器上的端口。

同样在ESXi上运行的是Windows 10计算机,我们将在其中安装Elastic Endpoint Security代理。

弹性SIEM网络

配置X-Pack

就目前而言,我们在ELK部署中拥有的唯一功能是日志提取和可视化。我们可以将日志提取到ElasticSearch中,并通过Kibana可视化来处理数据,但是缺少SIEM的核心功能。我们无法建立检测或用例。此功能不是“开箱即用”的,要使用它,我们必须首先在所有不同节点之间配置安全性。X-Pack是Elastic软件包,它基本上负责所有Elastic Security功能。

所需的一个关键组件是配置每个节点之间的SSL连接,可以通过多种方法进行。我们也将使用X-Pack来执行此操作。

首先,在安装了Elasticsearch的主机上,我们需要创建一个YAML文件,/usr/share/elasticsearch/instances.yml该文件将包含我们要使用SSL保护的不同节点/实例。就我而言,我只有Elasticsearch,Kibana和Zeek。

instances:
    - name: "elasticsearch"
      ip:
        - "192.168.1.232"
    - name: "kibana"
      ip:
        - "192.168.1.232"
    - name: "zeek"
      ip:
        - "192.168.1.234"

接下来,我们将使用Elastic的certutil工具为我们的实例生成证书。这也将生成一个证书颁发机构。

/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --out certs.zip

这将为我们的每个实例创建一个.crt.key文件,以及一个ca.crt文件。

您可以使用解压缩来解压缩不同的证书。

unzip /usr/share/elasticsearch/certs.zip -d /usr/share/elasticsearch/

现在我们有了我们的证书,我们可以配置每个实例。

配置Elasticsearch SSL

首先,我们需要创建一个文件夹将证书存储在我们的Elasticsearch主机上。

mkdir /etc/elasticsearch/certs/ca -p

接下来,我们需要将解压缩的证书复制到其相关文件夹中并设置正确的权限。

cp ca/ca.crt /etc/elasticsearch/certs/ca
cp elasticsearch/elasticsearch.crt /etc/elasticsearch/certs
cp elasticsearch/elasticsearch.key /etc/elasticsearch/certs
chown -R elasticsearch: /etc/elasticsearch/certs
chmod -R 770 /etc/elasticsearch/certs

接下来,我们需要将SSL配置添加到 /etc/elasticsearch/elasticsearch.yml文件中。

# Transport layer
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.key: /etc/elasticsearch/certs/elasticsearch.key
xpack.security.transport.ssl.certificate: /etc/elasticsearch/certs/elasticsearch.crt
xpack.security.transport.ssl.certificate_authorities: [ "/etc/elasticsearch/certs/ca/ca.crt" ]

# HTTP layer
xpac
最低0.47元/天 解锁文章

新学期VIP享超值加赠
Elastic官方网络研讨会视频列表
点火三周的专栏
04-09 1万+
标题 日期 链接 简介 优诺案例-使用Elastic Stack来扩展优锘科技公司业务并改善用户体验 2019-12-18 课程链接 优锘科技是可视化软件研发者。优锘科技(北京优锘科技有限公司)致力于以Digital Twins的理念提供智能可视管理平台,实现对万物互联的数字化世界的可视化、智能化、人性化、众创化的创新管理,是IT智能管理IoT物联网可视化管理领域的专业厂商。 运营副总裁孙岗说优锘科技的产品被金融业的许多大公司使用,例如银行。他们拥有大型数据中心大量的应用系统。优锘科...
Elasticsearch之快速入门篇(个人笔记)
weixin_35099248的博客
12-04 1537
Elasticsearch概述        Elasticsearch是一个开源的分布式、RESTful 风格的搜索数据分析引擎,它的底层是开源库Apache Lucene。   Lucene 可以说是当下最先进、高性能、全功能的搜索引擎库——无论是开源还是私有,但它也仅仅只是一个库。为了充分发挥其功能,你需要使用 Java 并将 Lucene 直接集成到应用程序中。 更糟糕的是,您可能需要获得信息检索学位才能了解其工作原理,因为Lu
Security:如何安装 Elastic SIEM EDR
Elastic 中国社区官方博客
02-25 6863
Elastic Security 为分析人员提供了预防,检测响应威胁的手段。 该解决方案解决了SIEMendpoint,威胁搜寻等安全用例,使 SecOps 团队能够收集各种数据,执行自动化分析师驱动的分析,并通过嵌入式工作流自动化来应对安全威胁。在今天的文章中,我将介绍如何安装 Elastic SIEM 及 EDR。 在我的系统配置中,我们使用如下的结构: 我有两台机器,在其中的一台机器上安装Elasticsearch,Filebeat及 Kibana,而在另外一台机器上安装有 en.
elasticsearch集群添加安全认证功能(添加访问密码)
web15085181368的博客
03-25 3787
一、前言 在 6.8 之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能;为了防止各种事故,一般都会设置es集群的访问密码;但是在我尝试设置访问密码的时候发现,设置访问密码的前提必须要设置集群证书,不然es启动报错。 关于设置证书的作用,简单来说就是在集群内定各个es节点都必须持有相同的证书,如果某个es的恶意节点想加入你的集群,那么它也必须有要相同的证书,这就可以防止别人恶意创建节点加入你的集群了。 本例子使用elasticsearch v7.2.0为例 二、具体步骤 1、编辑elastic
Elasticsearch安装使用教程
最新发布
2501_92713943的博客
07-19 1497
Elasticsearch 是一个分布式、RESTful 风格的搜索数据分析引擎,能够实现近乎实时的搜索。Elasticsearch官网。
Elastic stack8.10.4搭建、启用安全认证,启用https,TLS,SSL 安全配置详解
h952520296的博客
11-14 4602
ELK大家应该很了解了,废话不多说开始部署kafka在其中作为消息队列解耦让logstash高可用kafkazk 的安装可以参考这篇文章。
打造终端安全 Elastic买下终端安全业者Endgame
weixin_33929309的博客
06-11 370
打造Elasticsearch文件导向数据库的Elastic宣布将以2.34亿美元买下主打终端安全的资安业者Endgame。Elastic打算以股票及替Endgame偿还约1,400万美元的债务,取得Endgame的所有权,预计于今年第三财季完成交易。Endgame主要开发端点保护平台,宣称可用来取代防病毒软件、防开采、危害指标搜索引擎等安全工具,以减少端点环境的复杂度及安全成本。 Elasti...
Elasticsearch 8集群搭建、安全功能配置详述
02-02 4115
本文主要记录Elasticsearch 8.4.3的安装过程,一方面是记录如何搭建一个Elasticsearch 8 集群,另外一方面是通过安装过程,了解在这个过程中Elasticsearch在背后做了一些什么,有助于我们理解Elasticsearch的启动集群搭建流程。
Wazuh详解
kuokay的博客
06-16 1161
Wazuh是一款开源安全检测与响应平台,提供终端防护、威胁检测、云安全等核心功能。它基于客户端-服务器架构,通过代理收集主机日志数据,由服务器分析后存储到索引器集群,并通过Kibana可视化展示。Wazuh支持多种操作系统,具备恶意软件检测、文件完整性监控、漏洞扫描等能力,同时满足PCI-DSS、GDPR等合规要求。其架构采用加密通信,确保数据传输安全,适用于企业级安全监控与威胁响应场景。
kibana Osquery Manager
06-10
4. 集成其他安全工具:Kibana Osquery Manager 可以与其他安全工具集成,如 Elastic SIEM Elastic Endpoint Security,以提供更强大的安全分析威胁检测功能。 总的来说,Kibana Osquery Manager 提供了一个...
Github 开源 EDR项目一览
single7_的博客
11-24 8490
0x01 BLUESPAWN 项目地址 :https://github.com/ION28/BLUESPAWN BLUESPAWN – Windows防御集成工具 BLUESPAWN是一个主动的防御端点检测与响应工具,这意味着防御者可以使用它来快速检测,识别消除网络中的恶意活动恶意软件。 bluespawn 主要有三种模式,分别为 缓解模式、狩猎模式、监控模式。其中还有一些子模块,分别为: 狩猎:寻找恶意行为的证据的狩猎 缓解:通过应用安全设置缓解漏洞 监控:连续监控系统是否存在潜在的恶意行为 扫
Elastic Security 8 / Elastic EDR 8安装
csdn12368的博客
03-12 2111
Elastic Security在一个解决方案中将SIEM威胁检测功能与端点防护响应功能结合在一起。这些分析保护功能被Elasticsearch的为从事网络安全人员提供了预防,检测响应威胁的手段,使分析人员能够在损失损失发生之前保护组织免受威胁。本文演示的基于目前最新版的Elastic stack8.12.2在windows10上进行搭建,大家也可根据自己的需要在MAC OS或Ubuntu系统上搭建,不同操作系统上搭建方法流程基本相同,只是具体执行时的解压、安装等命令执行命令的目录稍有不同。
Solutions:Elastic SIEM - 适用于家庭企业的安全防护 ( 二)
Elastic 中国社区官方博客
03-17 2974
这篇文章是之前的文章“Solutions:Elastic SIEM - 适用于家庭企业的安全防护 ( 一)”的续篇。在之前的那篇文章中,我们对Elastic SIEM做了一个简单的介绍。在这篇文章中,我们来继续之前的话题。我们来进行实操。 参考 【1】https...
【最新评估报告】最先进的EDR并不完美,无法检测到常见的攻击
虹科网络安全的博客
05-26 1147
终端防御系统EDR防御效果研究报告表明:高级的EDR方案也不能完全阻挡常见的攻击。移动目标防御技术是有效的加强终端防御效果的有力解决方案。
Elastic:选择 AI 驱动的 SIEM 的技巧
Elastic 中国社区官方博客
05-28 775
《AI驱动的SIEM:网络安全新战略》摘要 面对云化趋势AI网络威胁,传统SIEM已无法应对现代网络安全挑战。本文阐述了选择新一代AI驱动SIEM的关键要素:1)需与业务风险状况未来需求深度契合;2)通过自动化减轻分析师负担;3)实现跨云/终端/网络的全面威胁可见性;4)集成多层AI分析检测未知威胁;5)支持长期数据存储与实时合规监控。文章强调开放架构、灵活扩展避免厂商锁定的重要性,建议组织选择能降低MTTD/MTTR、随数据规模弹性扩展的SIEM解决方案。
ELK生成PEM格式的ca证书、设置Https并使用Elasticsearch Java Client连接
特别享受思考问题的过程
05-28 4090
文章目录前提条件生成CA证书根据CA证书生成用于各个节点通信加密的证书为其他组件Kibana、Logstash生成证书配置elasticsearch.yml配置kibana.yml配置logstash.confJava代码使用HTTPS连接ES为什么使用ca.crt而不是官方推荐的ca.p12?官方文档 前提条件 本地下载安装Elasticsearch、Kibana、Logstash,并可以正常启动 本文所使用的ELK的版本为8.2.0 Elasticsearch 8.2.0 版本,安装好之后
Solutions:Elastic SIEM - 适用于家庭企业的安全防护 ( 四)
Elastic 中国社区官方博客
03-19 1891
在之前的这个系列文章“Solutions:Elastic SIEM - 适用于家庭企业的安全防护 ( 三)”,我们讲到了SIEM的detections。在今天的这篇文章中,我们来讲述一下如何来创建一个rule。简单地说rule定期运行,并在指定的索引中搜索符合其条件的文档。 我们在Kibana中的SIEM里打开我们的Detection tab,我们可以看到: 我们可以点击Load pre...
Win10下安装opendr
MoL的博客
12-30 4383
踩坑过程: 正常pip install opendr 报错:下载Cython失败。 解决:去PYPI上找轮子,离线安装Cython。 问题:这次库都下载好了,但是安装时报错。 解决:去找opendr源码https://github.com/mattloper/opendr 。 采用python setup.py build python setup.py install方法安装。...
ElasticSearch入门及安装 ( 一 )
欢迎来到空说的博客
03-12 1930
ElasticSearch(简称ES)是一个开源的分布式搜索数据分析引擎,用Java开发并且是当前最流行的开源的企业级搜索引擎,能够达到近实时搜索,它专门设计用于处理大规模的文本数据实现高性能的全文检索。Elastic Stack由Logstash、Beats、ElasticSearchKibana 四大核心产品组成,在数据采集、存储、分析及数据可视化方面有着无可比拟的优势。作为Elastic Stack的基石,Elasticsearch是一个高度可扩展的开源全文搜索与分析引擎。
ElasticStack安装配置:Elasticsearch与Kibana实战
ELK架构,即Elasticsearch、LogstashKibana的组合,是当前流行的集中式日志管理分析解决方案。这些开源软件最初由Elastic公司开发,但现在随着Beats家族的加入,整体更名为ElasticStack。以下详细介绍每个组件的...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值