Jamie HyndsMia LaVada

从 API 密钥到实时威胁检测,只需几分钟:Elastic Security 如何获取 Google 威胁情报

了解 Elastic Security 如何整合 Google 威胁情报以实现持续检测,并利用人工智能驱动的工作流实时丰富警报信息——从 API 密钥到实时检测,仅需几分钟。

阅读时间:5 分钟产品更新

Elastic Security 原生支持 Google 威胁情报:已知的恶意 IP、域名、URL 和文件哈希值会在出现的第一时间与您的遥测数据进行匹配,每个威胁都会有一个判定结果和一个 0-100 的威胁评分。该设置包括一个 API 密钥和两个数据流,无需额外的基础设施。当指标不明确时,基于 Agent Builder 构建的工作流会实时查询 VirusTotal,丰富警报,与您的遥测数据关联,并实时汇总调查结果。

Elastic Security 中的威胁情报是如何工作的

在现代安全运营中,威胁情报必须贯穿检测、调查和响应三个环节,而不是仅仅放在参考表中。

Elastic Security 通过两种方式支持此功能。通过集成获取的情报驱动持续检测和历史数据搜寻。基于 Elastic Workflows 和 Agent Builder 构建的代理工作流,可在积极调查期间提供按需丰富和调查推理。本文重点介绍 Elastic 的 Google Threat Intelligence (GTI) 集成如何支持基于摄取的检测和搜寻,以及它如何融入更广泛、更动态的 SOC 模型,其中 AI 驱动的工作流程在发出警报时使用该情报。

Google威胁情报提供什么

Google 威胁情报集成将精心整理的威胁情报直接引入 Elastic Security,使其能够在检测和调查过程中发挥作用。GTI 将 Google 的全球安全可见性情报与 VirusTotal 数据相结合,提供更丰富的入侵指标上下文,涵盖恶意软件、勒索软件、网络钓鱼、信息窃取程序、恶意基础设施、威胁行为者和其他敌对活动。

每个指标都会返回:一个判定结果(恶意、可疑或未检测到)、一个严重程度以及一个 0-100 的综合威胁评分。由于该分数是由多个信号推导而来,安全团队可以根据指标的置信度而不是仅仅根据指标是否存在来确定其优先级。

Google 威胁情报集成在 Elastic Security 中的工作原理

安装只需几分钟。您只需在 Elastic 集成中提供 GTI API 密钥,即可按预定的轮询间隔开始摄取数据,无需额外的基础设施或收集器。该集成方案会接收两个主要数据流。

用途威胁清单IOC 流
用途高置信度检测威胁狩猎 + 早期预警
体积精选,低音量更广泛、更高容量
适用场景精准关键型警报新兴和探索性活动

数据被摄取时,指标会使用弹性通用模式 (ECS) 进行标准化,同时还会结合 GTI 上下文,例如判决、严重性、分数、恶意软件家族、威胁行为者关联和活动元数据(如果可用)。这使得 GTI 可以与其他符合 ECS 标准的情报源(包括 TAXII 信息流)、自定义情报以及 Elastic Security 中已存在的更广泛的安全遥测数据进行一致的搜索和关联。Elastic 还会自动管理指标生命周期,包括过期和撤销,从而减少与过时情报的匹配。一旦被摄取,GTI 指标就会成为与日志、端点和云遥测数据相同的可搜索数据集的一部分,从而实现跨环境的统一关联。

利用谷歌威胁情报进行指标匹配检测

Elastic 的指标匹配规则使用 GTI 数据来检测已知恶意 IP、域名、URL 或文件哈希何时出现在安全遥测数据中,持续将情报与观察到的活动进行关联,并将匹配项呈现出来以供调查。由于 GTI 提供了评分、判决和严重性等结构化字段,团队可以根据置信度调整检测结果:高置信度指标可以触发立即升级,而低置信度指标可以路由进行审查或进一步验证。

在 Elastic Security 中使用 GTI 指标进行威胁狩猎

借助 GTI 元数据,分析师可以从单个 IOC 转向所有相关的基础设施并搜索历史遥测数据;不仅可以检查指标是否出现,还可以了解它属于哪个活动。

GTI 通过威胁行为者关联和恶意软件家族上下文等元数据来丰富指标,使分析人员能够超越单一 IOC 搜索。猎手可以从对手或攻击活动转向所有相关的指标(IP、域名和文件哈希),并使用 ES|QL 搜索历史遥测数据。这样就很容易确定已知的恶意基础设施是否曾经与环境进行过交互。

利用 GTI 控制面板监控威胁情报活动

该集成包括预置仪表板,可提供对威胁情报活动和 GTI 驱动的检测的可见性。这些仪表板利用保存的搜索和汇总的指标,总结了恶意软件家族、攻击活动、威胁行为者、工具包和漏洞中观察到的威胁,帮助 SOC 团队了解其环境中哪些威胁类型最活跃以及如何将情报付诸实践。

Google威胁情报信息源类别和覆盖范围

GTI 包含 14 分类信息源类别,因此组织可以根据自身需求和订阅级别定制内容。支持的类别包括:

  • 加密货币挖矿软件
  • 热门威胁
  • 初始接入和递送途径
  • 信息窃取者
  • 物联网威胁
  • Linux恶意软件
  • 恶意基础设施
  • 通用恶意软件
  • 移动威胁
  • macOS 威胁
  • 网络钓鱼
  • 勒索软件
  • 威胁行为者
  • 漏洞利用和武器化

可用性取决于您的 Google 威胁情报订阅级别,无需更改 Elastic 配置即可启用其他信息源。

利用弹性工作流实现代理增强和实时分类

对于尚未被索引的模糊或新兴指标,Elastic Security 通过 Agent Builder 和 Elastic Workflows 支持 AI 驱动的调查,它们通过在调查期间实现实时丰富和推理来补充情报摄取。

借助工作流程,分析师不再局限于索引中已有的信息。在警报分类期间,工作流可以实时查询 VirusTotal 等外部情报和信誉服务,用有关所涉及的 IP、域名或文件哈希值的最新上下文丰富警报,将该实时情报与 Elastic 遥测数据关联起来,并将调查结果总结成分析师可以采取行动的结构化调查上下文。Agent Builder 进一步扩展了这一功能:团队可以组合可重用的、特定于任务的功能,例如用于警报分类、丰富或案件处理的代理技能,从而使助手能够通过自然语言界面,以传统自动化的一致性执行多步骤调查任务。

这引入了一种互补模型。摄取的情报(GTI、TAXII 和自定义信息流)可针对您已持有的指标进行持续检测和历史数据搜寻。智能体工作流程可在警报响起时提供按需丰富和调查推理,联系实时来源并即时构建上下文。它们共同帮助团队大规模地检测已知威胁,并为调查提供背景信息。

Elastic Security 中的 Google 威胁情报入门

要在 Elastic Security 中使用Google Threat Intelligence 集成,您需要有效的 GTI 许可证和 API 密钥。

  1. 安装:在 Kibana 中打开集成目录 → 搜索“Google Threat Intelligence” → 添加集成 → 输入您的 API 密钥
  2. 配置数据流:启用威胁列表(高置信度检测)和 IOC 流(威胁狩猎覆盖范围)→ 设置轮询频率以匹配 API 限制和运行需求
  3. 调整:预设指标匹配规则自动激活;如果警报量过大,则首先按置信度阈值进行过滤

所有指标都存储在 Elasticsearch 中,可通过 GTI 威胁情报数据视图访问,从而实现搜索、关联和自定义检测逻辑。完整的配置详情和故障排除指南可在官方文档中找到。

将一切联系起来

只有当团队能够根据威胁情报采取行动时,威胁情报才有意义。通过将 Google 威胁情报引入 Elastic Security,SOC 团队可以持续地在其遥测数据上运行基于摄取的检测,并实时地基于代理驱动的调查推理来分析这些情报。这种组合使威胁情报能够持续且有针对性地运行,帮助分析人员更快地从指标得出可靠的决策。

分享这篇文章