美国政府如何利用统一平台扩展网络威胁可见性实践

为什么美国政府在利用Elastic扩展其网络可见性实践

在日益扩大的支持远程办公和云应用的端点网络背景下，美国联邦文职机构正在通过一个基于Elastic搜索平台构建的新的“持续诊断与缓解仪表板”来保护政府系统的韧性与资源。

在近期的一次MeriTalk网络中心活动中，参与者了解到Elastic与ECS合作，如何帮助安全运营中心团队实现快速、大规模的网络可见性。

历史上，CDM仪表板被文职机构的网络高管用于了解网络安全合规状况。如今，该仪表板使文职机构的SOC团队能够查看来自不同系统的大量数据，在数据存储位置进行查询，并共享漏洞和缓解见解。这种共享本身发生在整个联邦政府内部以及与网络安全和基础设施安全局之间。

以下是讨论中的关键要点：

使用通用模式规范化数据

利用联邦机构提供的PB级网络监控数据，CDM仪表板在将结构化和非结构化、半结构化的网络数据摄入时，将其索引到Elastic通用模式中。这种来自102个文职机构不同系统的前期数据规范化，使得数据能够在Kibana（Elastic强大的可视化界面）中立即可操作。通过使用Kibana，各机构可以轻松地在主机级别识别和跟踪异常。

在数据存储位置进行查询

ECS的网络解决方案总监Joanna Dempsey在MeriTalk活动发言中强调，CDM仪表板项目遵循的一个最佳实践是在数据存储位置进行查询。这意味着除非必要，数据不会移动。保持数据原地不动，因为移动它会带来不必要的开销，并且被移动的数据也会成为对手寻找漏洞的丰富目标。利用Elastic的跨集群搜索功能，CDM仪表板支持尽可能接近端点地查询数据。可以说，我们是把问题带到数据面前。

利用双向数据共享

CDM仪表板利用云的力量，使所有用户都能从某个机构的发现或CISA对宏观环境的完整视图中受益。在102个文职机构中，有41个正与CISA积极合作，并根据仪表板数据优先进行威胁狩猎。未来五年的目标是让所有102个文职机构都利用该仪表板，以便通过通用工具和语法更深入地了解端点健康状况。

转向响应与恢复

CISA的CDM项目经理Judy Baltensperger在MeriTalk活动发言中指出，该仪表板提供的发现能力远远超出了Kibana中的预建可视化功能。利用Elastic安全工具，用户可以应用MITRE ATT&CK和基于社区的规则来构建自定义检测和警报。利用CDM仪表板识别和检测威胁，使各机构能够转向通过可操作的SIEM和端点检测与响应进行响应和恢复。后者是《改善国家网络安全行政命令》的一项要求。

将CDM仪表板纳入机构计划

CDM仪表板为机构安全团队提供了丰富的数据。鼓励所有102个文职机构优先在其SOC中实施该仪表板。这样，我们可以继续将来自分散系统的数据标准化，以减少延迟并实现大规模的自动化检测。

如需开始，请直接通过 federal@elastic.co 联系。