如何设置 ELK ，用于网络安全的弹性代理和 Sysmon？

视频讲解

概要

本视频将介绍如何设置ELK（Elastic Agents & Sysmon），以用于网络安全。

重点

• 介绍了如何使用John Strand的课程来学习ELK。
• 展示了如何使用Elastic Cloud来设置ELK。
• 详解了如何使用Sysmon来收集数据并将其发送到Elastic Stack。

科普

ELK是一组开源工具的缩写，包括Elasticsearch、Logstash和Kibana。些工具可以协同工作，用于处理、存储和可视化大量的日志和数据。

• Elasticsearch是一个分布式搜索和分析引擎，可以快速地存储、搜索和分析大量的数据。它处理结构化和非结构化数据支持实时搜索分析。

• Logstash是一个数据集引擎，可以从多个来源（如Web服务器、数据库、操作系统、网络设备等）收集数据，并将其转换统一的格式以便进行分析。

• Kibana一个数据可视化工具，可以将 Elasticsearch 中的数据以图表、表格和地图等式展示来，帮助用户更好地理解和分析数据。

ELK被广泛应用于日志分析、安全监控业务分析等领域。

 

弹性代理Elastic Agent）是 Elastic Stack 7.13 版本中引入的一种新型代理，它可以将多个 Beats 和 Logstash 代理功能集成到单独的代理中。它可以在不同的操作系统上运行，包括 Windows、Linux 和 macOS。弹性代理可以用于安全监控，例如在网络入侵检测系统（NIDS）中，它可以不同的数据源（如网络流量、系统日志、文件哈希等）发送到 Elastic Stack 中进行分析和可视化。

Sysmon是一种 Windows 系统监视工具，它可以监控系统的进程、文件、注册表、网络连接等信息，并将这些信息记录到 Windows 事件日志中。由于 Sysmon 可以监控系统中的各活动，因此它可以用于检测和响应恶意活动，例如恶意软件的安装、命令行注入、横向移动等。在与 Elastic Stack 集成后，可以使用 Kibana 对 Sysmon 事件进行搜索、分析和可视化，以帮助安全团队检测和响应安全事件。