Elastic Security 簡介 淺談 EDR、SIEM、Elastic Endpoint Security

Lin Yen-Cheng on 2020-09-15 6 min. read

前面幾天的文章都著重在 Log 產生及彙整管理,管理也可以用 Graylog 或 Loggly 這些很棒的工具,但需要進行資安分析,需要的就會是 SIEM,除了 SEIM 以外最近還有很紅的 EDR,其中 Elastic Endpoint Security 就是一套類似 EDR 的解決方案。

上面看到很多名詞很陌生嗎? 這篇文章將淺談端點安全、EDR、SIEM、Elastic Endpoint Security 的基礎概念。

端點安全簡介

大家還記得前陣子 Garmin 遇到資安事件全球大當機三天、讀冊生活資料外洩等等最近的資安事件嗎? 近十年來由於 IT 相關產業快速的發展,資安問題也越來越多,資安工程師常會遇到的問題可能如下:

  • 公司內部電腦目前安全狀況如何?
  • 怎麼偵測到被忽視的攻擊?
  • 怎麼發現一些潛在的危險事件或行為?
  • 各式各樣端點傳來的 Log 該怎麼整合怎麼判斷?
  • 這次的攻擊是怎麼發生的?

所以這時候就會需要一套可偵測管理、持續性監看、簡單配置的端點安全系統。

SIEM

一套 SIEM 主要結合了:

  • SIM (security information management)
  • SEM (security event management)

SIEM 彙整並監控各種伺服器的日誌、網路安全資訊,像是防火牆、網路流量、路由器的紀錄等等,然後產生報表,SIEM 架構可以簡單分成三個部分:

  • 事件收集器 (connector)
  • 日誌管理系統 (logger management)
  • 事件關連分析平台 (correlation)

看起來這三個部分是不是有點熟悉,當把 Elasticsearch 該裝的該設定處理好其實也就是一套 SIEM,但 SIEM 並未內建回應機制,只是一項偵測工具。

EDR

最近 Endpoint 防禦的觀念逐漸普及,EDR (Endpoint Detection and Response) 就是端點偵測與回應的解決方案,國內外資安廠商都有出相關產品,開源的像是 OSSEC、osquery 也很棒。

在讀了網路上的相關知識後幾個相關的名詞解釋如下:

  • EDR (Endpoint Detection and Response): 端點偵測及回應,行為特徵的彙整,資訊的蒐集與辨識,來讓相關人員或防毒軟體做出反應
  • XDR: Cross Detection and Response 全面偵測及回應,除了端點訊息以外再提供更多一些,可以想像是跨平台的 EDR (Network, Endpoint, Server, messaging, 3rd party logs)
  • EPP: 端點防護平臺 Endpoint Protection Platform,高度整合的防護平台,透過固定的特徵碼識別機制處理問題

Elastic Endpoint Security

Elastic Endpoint Security 就是一套類似 EDR 的解決方案,透過配置 Sensor 及相關的保護政策來提供 Windows, Linux, Mac 端點保護,一套 Endpoint Security Platform 可以監控 100K 個端點,使用當然就按照 Elastic Endpoint 官方文件進行相關安裝,主要分成三大塊:

  • 建立保護政策 (Protection Policy)
    • threats: 透過行為分析與機器學習來辨識
    • adversary behaviors: 透過蒐集本機 event data 來辨識
  • 建立 Sensor Profile
    • 連接的 IP or domain name
    • 使用的 proxy
    • 套用哪個保護政策
    • 要監控哪些類型的檔案是否有被修改
    • Local 要存多大容量的事件 Log
  • 建置發佈 Sensor 到機台上
    • In-band: 只能用在 windows 平台,需要啟用 WinRM (Windows Remote Management)
    • Out-of-band: 透過 SCCM, BigFix, PDQDeploy 等工具
      • 下載相關 Sensor Profile
      • 執行相關指令

喜歡這篇文章,請幫忙拍拍手喔 🤣

share