Security安装 Elastic SIEM 和 EDR的超详细教程
Elastic Security 为分析人员提供了预防,检测和响应威胁的手段。该文件位于 /etc/elasticsearch/elasticsearch.yml 中。其默认设置为localhost。将其更改为安装了 Elasticsearch 的主机的 IP 地址。现在,你应该准备启动 Elasticsearch 并检查它是否已正确启动。启动 Kibana 并检查其状态。安装 BeatsFilebeat 用于将数据从设备传送到 Elasticsearch。对于不同的产品,有许多不同的 Filebeat 模块,它们以所需的格式将日志和数据发送到 Elasticsearch。通过运行以下命令来执行此操作。接下来,我们需要为 Zeek 创建工作目录,由于某些原因,Zeek 在安装时默认不执行此操作。另外,我们需要安装 sendmail,否则在运行 zeek 时会发生无法找到 sendmail 的错误。让我们检查DNS日志配置安全就目前而言,我们在 ELK 部署中拥有的唯一功能是日志提取和可视化。我们无法建立检测或用例。这也将生成一个证书颁发机构。
下载地址
用户评论