使用Cloudflare Zero Trust日志和Elastic SIEM增強(qiáng)安全分析

今年第一季度，我們?cè)贓lastic上推出了新的Cloudflare Zero Trust儀表板。使用Elastic的共享客戶現(xiàn)在可以使用這些預(yù)構(gòu)建的儀表板來存儲(chǔ)、搜索和分析他們的Zero Trust日志。

當(dāng)企業(yè)及組織希望采用Zero Trust架構(gòu)時(shí)，有許多組件需要正確處理。如果產(chǎn)品配置不正確、被惡意使用或在此過程中以某種方式破壞了安全性，則可能會(huì)使您的企業(yè)及組織面臨潛在的安全風(fēng)險(xiǎn)，并且無法快速有效地從數(shù)據(jù)中獲取見解。

作為Cloudflare的技術(shù)合作伙伴，Elastic幫助Cloudflare客戶更快地找到所需內(nèi)容，同時(shí)保持應(yīng)用程序平穩(wěn)運(yùn)行并防范網(wǎng)絡(luò)威脅。Elastic首席營收官M(fèi)ark Dodds解釋說：“我很高興分享我們與Cloudflare的合作，使部署日志和分析儀表板變得更加容易。此次合作將Elastic的開放方法與Cloudflare的實(shí)用解決方案相結(jié)合，為企業(yè)搜索、可觀察性和安全部署提供了簡單的工具?！?/p>

Zero Trust日志在Elastic中的價(jià)值

借助這一聯(lián)合解決方案，我們讓客戶能夠輕松地通過Logpush作業(yè)將其Zero Trust日志無縫轉(zhuǎn)發(fā)到Elastic。這可以直接通過Restful API實(shí)現(xiàn)，也可以通過AWS S3或Google Cloud等中間存儲(chǔ)解決方案實(shí)現(xiàn)。此外，Cloudflare與Elastic的集成也得到了改進(jìn)，涵蓋了Cloudflare生成的所有類別的Zero Trust日志。

下面詳細(xì)介紹了該集成提供的一些亮點(diǎn)：

-全面的可見性：將Cloudflare Logpush集成到Elastic中，可為組織提供Zero Trust相關(guān)事件的實(shí)時(shí)、全面視圖。這樣可以詳細(xì)了解誰在何時(shí)何地訪問資源和應(yīng)用程序。增強(qiáng)的可見性有助于更有效地檢測異常行為和潛在的安全威脅，從而實(shí)現(xiàn)早期響應(yīng)和緩解。

-字段規(guī)范化：通過在Elastic中統(tǒng)一來自Zero Trust日志的數(shù)據(jù)，不僅可以對(duì)Zero Trust日志應(yīng)用一致的字段規(guī)范化，還可以對(duì)其他來源應(yīng)用一致的字段規(guī)范化。這簡化了搜索和分析過程，因?yàn)閿?shù)據(jù)以統(tǒng)一的格式呈現(xiàn)。規(guī)范化還有助于創(chuàng)建警報(bào)以及識(shí)別惡意或異?；顒?dòng)的模式。

-高效的搜索和分析：Elastic提供強(qiáng)大的數(shù)據(jù)搜索和分析功能。在Elastic中擁有Zero Trust日志可以快速準(zhǔn)確地搜索特定信息。這對(duì)于調(diào)查安全事件、了解工作流程和做出明智的決策至關(guān)重要。

-關(guān)聯(lián)和威脅檢測：通過將Zero Trust數(shù)據(jù)與其他安全事件和數(shù)據(jù)相結(jié)合，Elastic可以實(shí)現(xiàn)更深入、更有效的關(guān)聯(lián)。這對(duì)于檢測在單獨(dú)分析每個(gè)數(shù)據(jù)源時(shí)可能被忽視的威脅至關(guān)重要。關(guān)聯(lián)有助于識(shí)別模式和檢測復(fù)雜的攻擊。

-預(yù)建儀表板：集成提供開箱即用的儀表板，可快速開始可視化關(guān)鍵指標(biāo)和模式。這些儀表板可幫助安全團(tuán)隊(duì)以清晰簡潔的方式可視化安全狀況。集成不僅提供了為Zero Trust數(shù)據(jù)集設(shè)計(jì)的預(yù)建儀表板，還使用戶能夠策劃自己的可視化。

儀表板更新

集成的主要資產(chǎn)之一是專門為每種類型的Zero Trust日志量身定制的開箱即用儀表板。讓我們更詳細(xì)地探索其中一些儀表板，以了解它們?nèi)绾卧诳梢娦苑矫鎺椭覀儭?/p>

網(wǎng)關(guān)HTTP

該儀表板專注于HTTP流量，并允許監(jiān)控和分析通過Cloudflare的安全Web網(wǎng)關(guān)的HTTP請(qǐng)求。

在這里，可以識(shí)別流量模式、檢測潛在威脅并更好地了解網(wǎng)絡(luò)內(nèi)資源的使用情況。

階段中的每個(gè)可視化都是交互式的。因此，整個(gè)儀表板都會(huì)適應(yīng)已啟用的篩選器，并且可以將它們固定在儀表板上以供旋轉(zhuǎn)查看。例如，如果單擊顯示不同操作的圓環(huán)圖的其中一個(gè)部分，則會(huì)自動(dòng)對(duì)該值應(yīng)用篩選器，并且整個(gè)儀表板都會(huì)圍繞它進(jìn)行布置。

CASB

從另一個(gè)角度來看，CASB（云訪問安全代理）儀表板提供了用戶使用的云應(yīng)用程序的可見性。其可視化旨在有效檢測威脅，在風(fēng)險(xiǎn)管理和法規(guī)遵從方面提供幫助。

這些示例說明了Cloudflare與Elastic集成中的儀表板如何為Zero Trust提供實(shí)用且有效的數(shù)據(jù)可視化。利用這些集成，我們能夠做出數(shù)據(jù)驅(qū)動(dòng)的決策、識(shí)別行為模式并主動(dòng)應(yīng)對(duì)威脅。通過以可視化和可訪問的方式提供相關(guān)信息，這些儀表板可加強(qiáng)安全態(tài)勢(shì)并允許在Zero Trust環(huán)境中更有效地進(jìn)行風(fēng)險(xiǎn)管理。

如何開始

安裝和部署十分簡單。使用Cloudflare儀表板或API創(chuàng)建Logpush作業(yè)，為您要在Elastic上提取的每個(gè)數(shù)據(jù)集啟用所有字段。目前有八個(gè)帳號(hào)范圍的數(shù)據(jù)集（訪問請(qǐng)求、審計(jì)日志、CASB發(fā)現(xiàn)、網(wǎng)關(guān)日志（包括DNS、網(wǎng)絡(luò)、HTTP）、Zero Trust會(huì)話日志）可提取到Elastic中。

通過以下方法之一將Logpush作業(yè)設(shè)置到您的Elastic目標(biāo)：

-HTTP端點(diǎn)模式：Cloudflare將日志直接推送到由您的Elastic Agent代管的HTTP端點(diǎn)。

-AWS S3輪詢模式：Cloudflare將數(shù)據(jù)寫入S3，Elastic Agent通過列出其內(nèi)容和讀取新文件來輪詢S3存儲(chǔ)桶。

-AWS S3 SQS模式：Cloudflare將數(shù)據(jù)寫入S3，S3將新對(duì)象通知推送到SQS，Elastic Agent從SQS接收通知，然后讀取S3對(duì)象。此模式下可以使用多個(gè)Agent。

在Elastic中啟用集成

1.在Kibana中，轉(zhuǎn)至“管理”>“集成”

2.在集成搜索欄中輸入Cloudflare Logpush。

3.在搜索結(jié)果中點(diǎn)擊Cloudflare Logpush集成。

4.點(diǎn)擊“添加Cloudflare Logpush”按鈕以添加Cloudflare Logpush集成。

5.啟用與HTTP端點(diǎn)、AWS S3輸入或GCS輸入的集成。

6.在AWS S3輸入下，有兩種類型的輸入：使用AWS S3 Bucket或使用SQS。

7.配置Cloudflare以將日志發(fā)送到Elastic Agent。

下一步

隨著企業(yè)及組織越來越多地采用Zero Trust架構(gòu)，充分了解企業(yè)及組織的安全態(tài)勢(shì)至關(guān)重要。儀表板提供必要的工具來協(xié)助構(gòu)建強(qiáng)大的安全策略，以可見性、早期檢測和有效的威脅響應(yīng)為中心，通過統(tǒng)一數(shù)據(jù)、規(guī)范字段、促進(jìn)搜索和支持創(chuàng)建自定義儀表板，這種集成對(duì)于旨在加強(qiáng)安全態(tài)勢(shì)的任何網(wǎng)絡(luò)安全團(tuán)隊(duì)來說都是寶貴的資產(chǎn)。

我們期待繼續(xù)將Cloudflare客戶與我們的技術(shù)合作伙伴社區(qū)聯(lián)系起來，以幫助采用Zero Trust架構(gòu)的部署與實(shí)施。