ElasticCloud

Elastic Endgame 端點防護:資安產品體驗與威脅偵測實戰 整合 Elastic Stack SIEM,強化企業網路安全防禦

me
林彥成
2020-09-17 | 3 min.
文章目錄
  1. 1. 端點防護產品簡介
  2. 2. Endgame 簡介
  3. 3. EQL
  4. 4. 使用 Endgame
  5. 5. Endgame 體驗心得

本文將深入分享 Elastic Endgame 這款領先的端點防護資安產品,並探討其在威脅偵測與資安防禦中的強大功能。我們將分享Elastic Endgame整合 Elastic Stack SIEM 的體驗心得,揭示如何有效強化企業網路安全,對抗日益複雜的資安威脅。

端點防護產品簡介

像前幾篇文章中介紹的,Elastic Beats 其實蒐集了各式各樣的資料,涵蓋網路封包、Log、指標、Audit 資訊等等安全性導向 (Security-Oriented) 的資料,終端安全防護自然而然就成為 Elastic 其中一個產品線,2019 Elastic 更宣布買下了終端安全的資安業者 Endgame,宣示了往端點 (Agent-Based) 安全應用發展的決心。

那 Elastic 可以協助我們解決或回答哪些問題?

  • 事件或攻擊發生的先後順序?
  • 資安事件發生時產生了哪些檔案或是流量?
  • 攻擊已經結束了嗎? 還是還在持續?

Endgame 簡介

Endgame 本來就是一家提供端點安全服務解決方案的產品,搭配分析 Elastic Stack SIEM 中統一格式的 ECS (Elastic Common Schema) 把原來 Elastic Stack 的功能可以說是完全提升了一個層次,強化了端點安全的預防、偵測、回應 (EPP + EDR) 功能,此外也開發了一些厲害的功能,這次實際上用起來覺得蠻神奇的。

  • 提供 EQL(Event Query Language) 支援: 事件版本的 SQL 的語言
    • 能夠更方便的找出有相依性的相關資訊
  • Artemis: 可以看成是資安版本的 Siri 或是 Google assistant
    • 透過直觀自然的指令像是 Find the process wmic.exe 就可以找到相關資料
    • 透過 Chatbot + 人工智慧解決傳統搜尋介面較比較不友善的問題

透過 Chatbot + 人工智慧解決傳統搜尋介面較比較不友善的問題
Endgame Artemis 聊天機器人介面截圖

EQL

EQL 可以執行簡單的條件判斷和範圍指定

  • process where sha256=="551d62be381a429bb594c263fc01e8cc9f80bda97ac3787244ef16e3b0c05589"
  • any where timestamp_utc >= "2018-04-01 12:00:0Z" and timestamp_utc <= "2018-04-01 12:05:0Z"

也可以將條件組合成複雜的指令

1
2
3
4
5
6
network where
event_subtype_full == "ipv4_connection_attempt_event" and
process_name == "svchost.exe" and
destination_port == 1337 and
(destination_address == "192.168.*" or destination_address == "172.16.*")
| unique destination_address destination_port

使用 Endgame

透過介面建立並下載 Senser Profile
Endgame Sensor Profile 建立與下載介面截圖

透過下面的指令,使用剛才建立並下載的 Profile 配置我們的 Sensor:

  • SensorWindowsInstaller-<profile_name>.exe -c SensorWindowsInstaller-<profile_name>..cfg -k <api_key> -d false -l install.log
    • <profile_name>: 就是剛才建立的名稱
    • <api_key> 在建立後產生的 API key

透過剛剛下載的 Profile 配置並啟動 Senser 後會出現在列表
Endgame Endpoint 列表介面截圖

打開偽裝的 IE,會發現開啟 CMD 後跑了很多指令
偽裝的IE瀏覽器開啟CMD執行多個指令截圖

從 Alert 中查看影響路徑與範圍
Endgame Alert 影響路徑與範圍分析截圖

這時候就要設定遇到 Malware 的反應機制,設定阻擋並跳通知
Endgame Admin Policy 設定惡意軟體反應機制截圖

再打開偽裝的 IE、會發現已阻擋
Endgame 成功阻擋惡意軟體截圖

從新的 Alert 可以發現影響路徑與範圍變小
Endgame Alert 惡意軟體阻擋後影響路徑與範圍變化截圖

Endgame 體驗心得

Endgame 開發的是端點保護平台,但現在的資安威脅不再只能用單純的 IOCs (Indicators of Compromise) 來描述,所以才會有像 MITRE 提出 ATT&CK 這樣的框架來協助解構複雜的威脅。

對買下 Endgame 的 Elastic 來說:

  • Elastic Beats 提供 Security-Oriented 的資料
  • 深度整合原來既有的 SIEM 上
  • 數據與人工智慧的整合

兩個平台的結合可以說是相輔相成如虎添翼,完整的紀錄加上檢索引擎,相信在往後的檢討分析或是針對資安系統的 PDCA 都會有蠻大的幫助,當然完整的生態系可以說是優點也可以說是缺點,缺點大概就是用下去就會因為很方便而很難轉換。

喜歡這篇文章,請幫忙拍拍手喔 🤣

站內搜尋
其他相關文章
  • yencheng

    Elastic Anomaly Detection for Cybersecurity

    2020-09-22

    深入探討網路安全異常偵測!本文介紹 DNS 常見攻擊(如 DDoS、Cache Poisoning)及其防範,並以 Elastic Anomaly Detection 搭配 Elastic Machine Learning 工具,示範如何有效進行 DNS 攻擊偵測與資安監控,幫助您提升企業網路安全防護能力。

  • yencheng

    Elastic APM 基礎教學

    2020-09-12

    本篇 Elastic APM 基礎教學將帶您深入了解應用程式性能監控 (APM) 的核心概念與實作。透過 Elastic APM client 和 server 端函式庫,示範如何將 Node.js 服務狀態傳送至 Elasticsearch,並利用 Kibana 進行即時 APM 監控,有效找出應用程式效能瓶頸。

  • yencheng

    Elastic App Search Quick Start

    2020-09-06

    本篇快速指南將示範如何使用 Elastic App Search,透過 Elastic Cloud Search 服務在幾分鐘內完成搜尋引擎架設。深入了解全文檢索核心概念與 App Search 優化技巧,助您輕鬆建立高效搜尋功能,大幅提升資料檢索效率與使用者體驗。

最新的文章