訂閱以接收新文章的通知:

使用 Cloudflare Zero Trust 記錄和 Elastic SIEM 增強安全性分析

2024-02-22

閱讀時間:4 分鐘
本貼文還提供以下語言版本:English日本語한국어简体中文

今天,我們很高興地宣佈在 Elastic 上推出新的 Cloudflare Zero Trust 儀表板。使用 Elastic 的共用客戶現在可以使用這些預先建置的儀表板來儲存、搜尋和分析他們的 Zero Trust 記錄。

Enhancing security analysis with Cloudflare Zero Trust logs and Elastic SIEM

當組織希望採用 Zero Trust 架構時,有許多元件需要正確處理。如果產品設定不正確、被惡意使用或在此過程中以某種方式破壞了安全性,則可能會使您的組織面臨潛在的安全風險,並且無法快速有效地從資料中獲取見解。

作為 Cloudflare 的技術合作夥伴,Elastic 協助 Cloudflare 客戶更快地找到所需內容,同時保持應用程式平穩執行並防範網路威脅。Elastic 營收長 Mark Dodds 解釋說:「我很高興分享我們與 Cloudflare 的這次合作,使部署記錄和分析儀表板變得更加容易。此次合作將 Elastic 的開放方法與 Cloudflare 的實用解決方案相結合,為企業搜尋、可觀察性和安全部署提供了簡單的工具。」

Zero Trust 記錄在 Elastic 中的價值

藉助這一聯合解決方案,我們讓客戶能夠輕鬆地透過 Logpush 作業將其 Zero Trust 記錄無縫轉發到 Elastic。這可以直接透過 Restful API 實現,也可以透過 AWS S3 或 Google Cloud 等中繼儲存解決方案實現。此外,Cloudflare 與 Elastic 的整合也得到了改進,涵蓋了 Cloudflare 產生的所有類別的 Zero Trust 記錄。

下面詳細介紹了該整合提供的一些亮點

  • 全面的可見性:將 Cloudflare Logpush 整合到 Elastic 中,可為組織提供 Zero Trust 相關事件的即時、全面檢視。這樣可以詳細瞭解誰在何時何地存取資源和應用程式。增強的可見性有助於更有效地偵測異常行為和潛在的安全威脅,從而實現早期回應和緩解。

  • 欄位正規化:透過在 Elastic 中統一來自 Zero Trust 記錄的資料,不僅可以對 Zero Trust 記錄套用一致的欄位正規化,還可以對其他來源套用一致的欄位正規化。這簡化了搜尋和分析過程,因為資料以統一的格式呈現。正規化還有助於建立警示以及識別惡意或異常活動的模式。

  • 高效的搜尋和分析:Elastic 提供強大的資料搜尋和分析功能。在 Elastic 中擁有 Zero Trust 記錄可以快速準確地搜尋特定資訊。這對於調查安全事件、瞭解工作流程和做出明智的決策至關重要。

  • 關聯和威脅偵測:透過將 Zero Trust 資料與其他安全事件和資料相結合,Elastic 可以實現更深入、更有效的關聯。這對於偵測在單獨分析每個資料來源時可能被忽視的威脅至關重要。關聯有助於識別模式和偵測複雜的攻擊。

  • 預先建置儀表板:整合提供現成可用的儀表板,可快速開始視覺化關鍵指標和模式。這些儀表板可幫助安全團隊以清晰簡潔的方式視覺化安全狀況。整合不僅提供了為 Zero Trust 資料集設計的預先建置儀表板,還讓使用者能夠策劃自己的視覺化。

儀表板更新

整合的主要資產之一是專門為每種類型的 Zero Trust 記錄量身定制的現成可用儀表板。讓我們更詳細地探索其中一些儀表板,以瞭解它們如何在可見性方面幫助我們。

閘道 HTTP

該儀表板專注於 HTTP 流量,並允許監控和分析通過 Cloudflare 的安全 Web 閘道的 HTTP 請求。

在這裡,可以識別流量模式、偵測潛在威脅並更好地瞭解網路內資源的使用情況。

階段中的每個視覺化都是互動式的。因此,整個儀表板都會適應已啟用的篩選器,並且可以將它們固定在儀表板上以供旋轉查看。例如,如果按一下顯示不同操作的圓環圖的其中一個部分,則會自動對該值套用篩選器,並且整個儀表板都會圍繞它進行佈置。

CASB

從另一個角度來看,CASB(雲端存取安全性代理程式)儀表板提供了使用者使用的雲端應用程式的可見性。其視覺化旨在有效偵測威脅,在風險管理和法規遵從方面提供幫助。

這些範例說明了 Cloudflare 與 Elastic 整合中的儀表板如何為 Zero Trust 提供實用且有效的資料視覺化。利用這些整合,我們能夠做出資料驅動的決策、識別行為模式並主動應對威脅。透過以視覺化和可存取的方式提供相關資訊,這些儀表板可加強安全狀態並允許在 Zero Trust 環境中更有效地進行風險管理。

如何開始使用

安裝和部署十分簡單。使用 Cloudflare 儀表板或 API 建立 Logpush 作業,並為您想要在 Elastic 上擷取的每個資料集啟用所有欄位。目前,有八個帳戶範圍的資料集(存取請求、稽核記錄、CASB 發現結果、閘道記錄(包括 DNS、網路、HTTP)、Zero Trust 工作階段記錄)可供擷取到 Elastic 中。

透過以下方法之一將 Logpush 作業設定到您的 Elastic 目的地:

  • HTTP 端點模式:Cloudflare 將記錄直接推送到由您的 Elastic Agent 代管的 HTTP 端點。

  • AWS S3 輪詢模式:Cloudflare 將資料寫入 S3,Elastic Agent 透過列出其內容和讀取新檔案來輪詢 S3 貯體。

  • AWS S3 SQS 模式:Cloudflare 將資料寫入 S3,S3 將新物件通知推送到 SQS,Elastic Agent 從 SQS 接收通知,然後讀取 S3 物件。此模式下可以使用多個 Agent。

在 Elastic 中啟用整合

  1. 在 Kibana 中,前往「管理」>「整合」

  2. 在整合搜尋列中輸入 Cloudflare Logpush。

  3. 從搜尋結果中,按一下 Cloudflare Logpush 整合。

  4. 按一下「新增 Cloudflare Logpush」按鈕以新增 Cloudflare Logpush 整合。

  5. 啟用與 HTTP 端點、AWS S3 輸入或 GCS 輸入的整合。

  6. 在 AWS S3 輸入下方,有兩種類型的輸入:使用 AWS S3 貯體或使用 SQS。

  7. 設定 Cloudflare 以將記錄傳送至 Elastic Agent。

下一步驟

隨著組織越來越多地採用 Zero Trust 架構,瞭解組織的安全狀態至關重要。儀表板提供必要的工具來協助構建強大的安全性原則,以可見性、早期偵測和有效的威脅回應為中心。透過統一資料、正規化欄位、促進搜尋和支援建立自訂儀表板,這種整合對於旨在加強安全狀態的任何網路安全團隊來說都是寶貴的資產。

我們期待繼續將 Cloudflare 客戶與我們的技術合作夥伴社群聯繫起來,以幫助採用 Zero Trust 架構。

立即探索這一全新整合。

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
產品新聞Zero TrustLogs安全性SIEMElasticPartners

在 X 上進行關注

Corey Mahan|@coreymahan
Cloudflare|@cloudflare

相關貼文

2024年11月26日 下午4:00

Cloudflare incident on November 14, 2024, resulting in lost logs

On November 14, 2024, Cloudflare experienced a Cloudflare Logs outage, impacting the majority of customers using these products. During the ~3.5 hours that these services were impacted, about 55% of the logs we normally send to customers were not sent and were lost. The details of what went wrong and why are interesting both for customers and practitioners....