我尝试使用 ealstic 堆栈作为 SIEM(安全信息和事件管理)解决方案,但遇到了很多我无法解决的问题:
1 - 在新的 Elastic 8.5 中,logstach 仍然是堆栈的一部分,或者我可以用 Elasticsearch 摄取管道和将日志直接推送到 ealsticsearch 的 Elastic 代理来替换它吗?
2 - 新版本的弹性安全作为 SIEM 解决方案是否足够好,还是我需要集成另一个开源安全解决方案?如果是这样,哪些可以帮助我获得最佳性能?
由于弹性文档有点复杂,如果还有其他有用的内容和资源请与我分享
我们为大约 10 个客户使用 ES 作为 SIEM。端点代理非常好,它是向 ElasticSearch 报告事件的方式,您只需要 Logstash 来进行某些集成。您将需要预先构建的安全规则和 Elastic Security 集成。