Elastic Blog - Elasticsearch, Kibana, and ELK Stack
·
检测特权访问活动:新的Kibana集成
💡
原文英文,约1500词,阅读约需6分钟。
📝
内容提要
新发布的特权访问检测包适用于Kibana 8.18和9.0,旨在识别可疑的特权活动。该包通过机器学习分析用户行为,检测异常活动,支持Windows、Linux和Okta环境,帮助安全团队高效调查潜在威胁。
🎯
关键要点
- 新发布的特权访问检测包适用于Kibana 8.18和9.0,旨在识别可疑的特权活动。
- 该包通过机器学习分析用户行为,检测异常活动,支持Windows、Linux和Okta环境。
- 特权账户是攻击者的主要目标,组织需要强大的检测机制来识别可疑活动。
- 特权访问活动包括系统管理员或服务账户执行的操作,传统安全措施可能无法检测新型攻击模式。
- 该包使用机器学习建立用户的基线行为,检测偏离正常使用模式的异常活动。
- 数据准备阶段提取相关事件类型和命令,符合MITRE ATT&CK技术。
- 特征化阶段将原始事件日志转化为可用特征,使用机器学习模型进行分析。
- 机器学习阶段包括21个异常检测作业,旨在检测各种可疑活动。
- 安装和配置特权访问检测包的步骤包括安装包、配置转换和数据管道、启动异常检测作业。
- 可以通过仪表板跟踪和分析检测到的异常,获得全面的视角。
❓
延伸问答
特权访问检测包的主要功能是什么?
特权访问检测包旨在识别可疑的特权活动,通过机器学习分析用户行为,检测异常活动。
如何安装特权访问检测包?
在Kibana中启用显示beta集成功能后,搜索并安装特权访问检测包,按照设置选项进行配置。
特权访问检测包支持哪些操作系统?
该包支持Windows、Linux和Okta环境。
特权访问活动的检测机制是如何工作的?
该包通过建立用户的基线行为,使用机器学习检测偏离正常模式的异常活动。
特权访问检测包中包含多少个异常检测作业?
该包包含21个异常检测作业,针对Windows、Linux和Okta分别有9个和3个。
如何跟踪和分析检测到的异常?
可以通过仪表板跟踪和分析检测到的异常,获得全面的视角。
➡️
