使用Cloudflare Zero Trust日志和Elastic SIEM增強安全分析

今年第一季度，我們在Elastic上推出了新的Cloudflare Zero Trust儀表板。使用Elastic的共享客戶現(xiàn)在可以使用這些預構(gòu)建的儀表板來存儲、搜索和分析他們的Zero Trust日志。

當企業(yè)及組織希望采用Zero Trust架構(gòu)時，有許多組件需要正確處理。如果產(chǎn)品配置不正確、被惡意使用或在此過程中以某種方式破壞了安全性，則可能會使您的企業(yè)及組織面臨潛在的安全風險，并且無法快速有效地從數(shù)據(jù)中獲取見解。

作為Cloudflare的技術(shù)合作伙伴，Elastic幫助Cloudflare客戶更快地找到所需內(nèi)容，同時保持應(yīng)用程序平穩(wěn)運行并防范網(wǎng)絡(luò)威脅。Elastic首席營收官Mark Dodds解釋說：“我很高興分享我們與Cloudflare的合作，使部署日志和分析儀表板變得更加容易。此次合作將Elastic的開放方法與Cloudflare的實用解決方案相結(jié)合，為企業(yè)搜索、可觀察性和安全部署提供了簡單的工具。”

Zero Trust日志在Elastic中的價值

借助這一聯(lián)合解決方案，我們讓客戶能夠輕松地通過Logpush作業(yè)將其Zero Trust日志無縫轉(zhuǎn)發(fā)到Elastic。這可以直接通過Restful API實現(xiàn)，也可以通過AWS S3或Google Cloud等中間存儲解決方案實現(xiàn)。此外，Cloudflare與Elastic的集成也得到了改進，涵蓋了Cloudflare生成的所有類別的Zero Trust日志。

下面詳細介紹了該集成提供的一些亮點：

-全面的可見性：將Cloudflare Logpush集成到Elastic中，可為組織提供Zero Trust相關(guān)事件的實時、全面視圖。這樣可以詳細了解誰在何時何地訪問資源和應(yīng)用程序。增強的可見性有助于更有效地檢測異常行為和潛在的安全威脅，從而實現(xiàn)早期響應(yīng)和緩解。

-字段規(guī)范化：通過在Elastic中統(tǒng)一來自Zero Trust日志的數(shù)據(jù)，不僅可以對Zero Trust日志應(yīng)用一致的字段規(guī)范化，還可以對其他來源應(yīng)用一致的字段規(guī)范化。這簡化了搜索和分析過程，因為數(shù)據(jù)以統(tǒng)一的格式呈現(xiàn)。規(guī)范化還有助于創(chuàng)建警報以及識別惡意或異常活動的模式。

-高效的搜索和分析：Elastic提供強大的數(shù)據(jù)搜索和分析功能。在Elastic中擁有Zero Trust日志可以快速準確地搜索特定信息。這對于調(diào)查安全事件、了解工作流程和做出明智的決策至關(guān)重要。

-關(guān)聯(lián)和威脅檢測：通過將Zero Trust數(shù)據(jù)與其他安全事件和數(shù)據(jù)相結(jié)合，Elastic可以實現(xiàn)更深入、更有效的關(guān)聯(lián)。這對于檢測在單獨分析每個數(shù)據(jù)源時可能被忽視的威脅至關(guān)重要。關(guān)聯(lián)有助于識別模式和檢測復雜的攻擊。

-預建儀表板：集成提供開箱即用的儀表板，可快速開始可視化關(guān)鍵指標和模式。這些儀表板可幫助安全團隊以清晰簡潔的方式可視化安全狀況。集成不僅提供了為Zero Trust數(shù)據(jù)集設(shè)計的預建儀表板，還使用戶能夠策劃自己的可視化。

儀表板更新

集成的主要資產(chǎn)之一是專門為每種類型的Zero Trust日志量身定制的開箱即用儀表板。讓我們更詳細地探索其中一些儀表板，以了解它們?nèi)绾卧诳梢娦苑矫鎺椭覀儭?/p>

網(wǎng)關(guān)HTTP

該儀表板專注于HTTP流量，并允許監(jiān)控和分析通過Cloudflare的安全Web網(wǎng)關(guān)的HTTP請求。

在這里，可以識別流量模式、檢測潛在威脅并更好地了解網(wǎng)絡(luò)內(nèi)資源的使用情況。

階段中的每個可視化都是交互式的。因此，整個儀表板都會適應(yīng)已啟用的篩選器，并且可以將它們固定在儀表板上以供旋轉(zhuǎn)查看。例如，如果單擊顯示不同操作的圓環(huán)圖的其中一個部分，則會自動對該值應(yīng)用篩選器，并且整個儀表板都會圍繞它進行布置。

CASB

從另一個角度來看，CASB（云訪問安全代理）儀表板提供了用戶使用的云應(yīng)用程序的可見性。其可視化旨在有效檢測威脅，在風險管理和法規(guī)遵從方面提供幫助。

這些示例說明了Cloudflare與Elastic集成中的儀表板如何為Zero Trust提供實用且有效的數(shù)據(jù)可視化。利用這些集成，我們能夠做出數(shù)據(jù)驅(qū)動的決策、識別行為模式并主動應(yīng)對威脅。通過以可視化和可訪問的方式提供相關(guān)信息，這些儀表板可加強安全態(tài)勢并允許在Zero Trust環(huán)境中更有效地進行風險管理。

如何開始

安裝和部署十分簡單。使用Cloudflare儀表板或API創(chuàng)建Logpush作業(yè)，為您要在Elastic上提取的每個數(shù)據(jù)集啟用所有字段。目前有八個帳號范圍的數(shù)據(jù)集（訪問請求、審計日志、CASB發(fā)現(xiàn)、網(wǎng)關(guān)日志（包括DNS、網(wǎng)絡(luò)、HTTP）、Zero Trust會話日志）可提取到Elastic中。

通過以下方法之一將Logpush作業(yè)設(shè)置到您的Elastic目標：

-HTTP端點模式：Cloudflare將日志直接推送到由您的Elastic Agent代管的HTTP端點。

-AWS S3輪詢模式：Cloudflare將數(shù)據(jù)寫入S3，Elastic Agent通過列出其內(nèi)容和讀取新文件來輪詢S3存儲桶。

-AWS S3 SQS模式：Cloudflare將數(shù)據(jù)寫入S3，S3將新對象通知推送到SQS，Elastic Agent從SQS接收通知，然后讀取S3對象。此模式下可以使用多個Agent。

在Elastic中啟用集成

1.在Kibana中，轉(zhuǎn)至“管理”>“集成”

2.在集成搜索欄中輸入Cloudflare Logpush。

3.在搜索結(jié)果中點擊Cloudflare Logpush集成。

4.點擊“添加Cloudflare Logpush”按鈕以添加Cloudflare Logpush集成。

5.啟用與HTTP端點、AWS S3輸入或GCS輸入的集成。

6.在AWS S3輸入下，有兩種類型的輸入：使用AWS S3 Bucket或使用SQS。

7.配置Cloudflare以將日志發(fā)送到Elastic Agent。

下一步

隨著企業(yè)及組織越來越多地采用Zero Trust架構(gòu)，充分了解企業(yè)及組織的安全態(tài)勢至關(guān)重要。儀表板提供必要的工具來協(xié)助構(gòu)建強大的安全策略，以可見性、早期檢測和有效的威脅響應(yīng)為中心，通過統(tǒng)一數(shù)據(jù)、規(guī)范字段、促進搜索和支持創(chuàng)建自定義儀表板，這種集成對于旨在加強安全態(tài)勢的任何網(wǎng)絡(luò)安全團隊來說都是寶貴的資產(chǎn)。

我們期待繼續(xù)將Cloudflare客戶與我們的技術(shù)合作伙伴社區(qū)聯(lián)系起來，以幫助采用Zero Trust架構(gòu)的部署與實施。