Security安装 Elastic SIEM 和 EDR的超详细教程

Elastic Security 为分析人员提供了预防，检测和响应威胁的手段。该文件位于 /etc/elasticsearch/elasticsearch.yml 中。其默认设置为localhost。将其更改为安装了 Elasticsearch 的主机的 IP 地址。现在，你应该准备启动 Elasticsearch 并检查它是否已正确启动。启动 Kibana 并检查其状态。安装 BeatsFilebeat 用于将数据从设备传送到 Elasticsearch。对于不同的产品，有许多不同的 Filebeat 模块，它们以所需的格式将日志和数据发送到 Elasticsearch。通过运行以下命令来执行此操作。接下来，我们需要为 Zeek 创建工作目录，由于某些原因，Zeek 在安装时默认不执行此操作。另外，我们需要安装 sendmail，否则在运行 zeek 时会发生无法找到 sendmail 的错误。让我们检查DNS日志配置安全就目前而言，我们在 ELK 部署中拥有的唯一功能是日志提取和可视化。我们无法建立检测或用例。这也将生成一个证书颁发机构。