订阅以接收新文章的通知:

使用 Cloudflare Zero Trust 日志和 Elastic SIEM 增强安全分析

2024-02-22

4 分钟阅读时间
这篇博文也有 English日本語한국어繁體中文版本。

今天,我们很高兴地宣布在 Elastic 上推出新的 Cloudflare Zero Trust 仪表板。使用 Elastic 的共享客户现在可以使用这些预构建的仪表板来存储、搜索和分析他们的 Zero Trust 日志。

Enhancing security analysis with Cloudflare Zero Trust logs and Elastic SIEM

当组织希望采用 Zero Trust 架构时,有许多组件需要正确处理。如果产品配置不正确、被恶意使用或在此过程中以某种方式破坏了安全性,则可能会使您的组织面临潜在的安全风险,并且无法快速有效地从数据中获取见解。

作为 Cloudflare 的技术合作伙伴,Elastic 帮助 Cloudflare 客户更快地找到所需内容,同时保持应用程序平稳运行并防范网络威胁。Elastic 首席营收官 Mark Dodds 解释说:“我很高兴分享我们与 Cloudflare 的合作,使部署日志和分析仪表板变得更加容易。此次合作将 Elastic 的开放方法与 Cloudflare 的实用解决方案相结合,为企业搜索、可观察性和安全部署提供了简单的工具。”

Zero Trust 日志在 Elastic 中的价值

借助这一联合解决方案,我们让客户能够轻松地通过 Logpush 作业将其 Zero Trust 日志无缝转发到 Elastic。这可以直接通过 Restful API 实现,也可以通过 AWS S3 或 Google Cloud 等中间存储解决方案实现。此外,Cloudflare 与 Elastic 的集成也得到了改进,涵盖了 Cloudflare 生成的所有类别的 Zero Trust 日志。

下面详细介绍了该集成提供的一些亮点

  • 全面的可见性:将 Cloudflare Logpush 集成到 Elastic 中,可为组织提供 Zero Trust 相关事件的实时、全面视图。这样可以详细了解谁在何时何地访问资源和应用程序。增强的可见性有助于更有效地检测异常行为和潜在的安全威胁,从而实现早期响应和缓解。

  • 字段规范化:通过在 Elastic 中统一来自 Zero Trust 日志的数据,不仅可以对 Zero Trust 日志应用一致的字段规范化,还可以对其他来源应用一致的字段规范化。这简化了搜索和分析过程,因为数据以统一的格式呈现。规范化还有助于创建警报以及识别恶意或异常活动的模式。

  • 高效的搜索和分析:Elastic 提供强大的数据搜索和分析功能。在 Elastic 中拥有 Zero Trust 日志可以快速准确地搜索特定信息。这对于调查安全事件、了解工作流程和做出明智的决策至关重要。

  • 关联和威胁检测:通过将 Zero Trust 数据与其他安全事件和数据相结合,Elastic 可以实现更深入、更有效的关联。这对于检测在单独分析每个数据源时可能被忽视的威胁至关重要。关联有助于识别模式和检测复杂的攻击。

  • 预建仪表板:集成提供开箱即用的仪表板,可快速开始可视化关键指标和模式。这些仪表板可帮助安全团队以清晰简洁的方式可视化安全状况。集成不仅提供了为 Zero Trust 数据集设计的预建仪表板,还使用户能够策划自己的可视化。

仪表板更新

集成的主要资产之一是专门为每种类型的 Zero Trust 日志量身定制的开箱即用仪表板。让我们更详细地探索其中一些仪表板,以了解它们如何在可见性方面帮助我们。

网关 HTTP

该仪表板专注于 HTTP 流量,并允许监控和分析通过 Cloudflare 的安全 Web 网关的 HTTP 请求。

在这里,可以识别流量模式、检测潜在威胁并更好地了解网络内资源的使用情况。

阶段中的每个可视化都是交互式的。因此,整个仪表板都会适应已启用的筛选器,并且可以将它们固定在仪表板上以供旋转查看。例如,如果单击显示不同操作的圆环图的其中一个部分,则会自动对该值应用筛选器,并且整个仪表板都会围绕它进行布置。

CASB

从另一个角度来看,CASB(云访问安全代理)仪表板提供了用户使用的云应用程序的可见性。其可视化旨在有效检测威胁,在风险管理和法规遵从方面提供帮助。

这些示例说明了 Cloudflare 与 Elastic 集成中的仪表板如何为 Zero Trust 提供实用且有效的数据可视化。利用这些集成,我们能够做出数据驱动的决策、识别行为模式并主动应对威胁。通过以可视化和可访问的方式提供相关信息,这些仪表板可加强安全态势并允许在 Zero Trust 环境中更有效地进行风险管理。

如何开始

安装和部署十分简单。使用 Cloudflare 仪表板或 API 创建 Logpush 作业,为您要在 Elastic 上提取的每个数据集启用所有字段。目前有八个帐号范围的数据集(访问请求、审计日志、CASB 发现、网关日志(包括 DNS、网络、HTTP)、Zero Trust 会话日志)可提取到 Elastic 中。

通过以下方法之一将 Logpush 作业设置到您的 Elastic 目标:

  • HTTP 端点模式:Cloudflare 将日志直接推送到由您的 Elastic Agent 代管的 HTTP 端点。

  • AWS S3 轮询模式:Cloudflare 将数据写入 S3,Elastic Agent 通过列出其内容和读取新文件来轮询 S3 存储桶。

  • AWS S3 SQS 模式:Cloudflare 将数据写入 S3,S3 将新对象通知推送到 SQS,Elastic Agent 从 SQS 接收通知,然后读取 S3 对象。此模式下可以使用多个 Agent。

在 Elastic 中启用集成

  1. 在 Kibana 中,转至“管理”>“集成”

  2. 在集成搜索栏中输入 Cloudflare Logpush。

  3. 在搜索结果中点击 Cloudflare Logpush 集成。

  4. 点击“添加 Cloudflare Logpush”按钮以添加 Cloudflare Logpush 集成。

  5. 启用与 HTTP 端点、AWS S3 输入或 GCS 输入的集成。

  6. 在 AWS S3 输入下,有两种类型的输入:使用 AWS S3 Bucket 或使用 SQS。

  7. 配置 Cloudflare 以将日志发送到 Elastic Agent。

下一步

随着组织越来越多地采用 Zero Trust 架构,了解组织的安全态势至关重要。仪表板提供必要的工具来协助构建强大的安全策略,以可见性、早期检测和有效的威胁响应为中心。通过统一数据、规范字段、促进搜索和支持创建自定义仪表板,这种集成对于旨在加强安全态势的任何网络安全团队来说都是宝贵的资产。

我们期待继续将 Cloudflare 客户与我们的技术合作伙伴社区联系起来,以帮助采用 Zero Trust 架构。

立即探索这一全新集成。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
产品新闻Zero TrustLogs安全性SIEMElastic合作伙伴

在 X 上关注

Corey Mahan|@coreymahan
Cloudflare|@cloudflare

相关帖子

2024年11月26日 16:00

Cloudflare incident on November 14, 2024, resulting in lost logs

On November 14, 2024, Cloudflare experienced a Cloudflare Logs outage, impacting the majority of customers using these products. During the ~3.5 hours that these services were impacted, about 55% of the logs we normally send to customers were not sent and were lost. The details of what went wrong and why are interesting both for customers and practitioners....