Elastic SIEM
对应的官方文档地址
Elastic 是一种可提供搜索和可观察选项的解决方案,用于监控您的 Bitwarden 组织。通过与 Elastic Bitwarden 的集成,Elastic Agent 提供了监控 collection、event、group 和 policy 信息的功能。
设置
创建一个 Elastic 账户
首先,创建一个 Elastic 账户。要通过 Elastic 的云托管服务(推荐)或内部部署服务设置仪表板以监控数据,需要执行此步骤。
添加 Bitwarden 集成
监控数据需要使用 Elastic Search 和 Kibana 来可视化数据。
1、在 Elastic 主界面上,向下滚动然后找到 Add Integrations。
2、进入集成目录后,在搜索字段中输入 Bitwarden 然后选择 Bitwarden。
3、选择 Add Bitwarden 按钮来安装集成。
4、如果这是您第一次运行 Elastic 集成,则需要安装 Elastic Agent。在以下界面上,选择 Install Elastic Agent 然后按照安装说明进行操作。
5、要运行 Bitwarden 集成,需要使用 Elastic Agent 来维护集成数据。安装完成后,Elastic 会检测安装是否成功。成功设置代理后,选择 Add the integration。
将集成连接到 Bitwarden
添加 Bitwarden 集成后,您将进入设置界面配置集成。在此步骤中,您需要访问组织的 API 信息。打开您的组织,导航至设置 → 组织信息 → 查看 API 密钥。系统会要求您重新输入主密码,以访问 API 密钥信息。
在相应字段中输入以下信息:
| Elastic 字段 | 值 |
|---|---|
URL | 对于 Bitwarden 云用户,默认 URL 为 对于自托管 Bitwarden 用户,请输入您的自托管 URL。确保 URL 末尾不包含任何尾部正斜杠「 |
Client ID | 输入从 Bitwarden 组织 API KEY 窗口获取的 |
Client Secret | 输入从 Bitwarden 组织 API KEY 窗口获取的 |
您的组织 API 密钥信息是敏感数据。不要在不安全的位置共享这些值。
完成必填字段后,继续向下滚动页面以应用所需的数据收集设置。完成后选择 Confirm incoming data。
此时可使用其他高级选项进行配置。上面突出显示了添加 Bitwarden 集成所需的最少字段。要在以后访问集成以编辑设置,请转至菜单然后选择 Integrations → Installed integrations → Bitwarden → Integration policies。
如果所有数据输入正确,Elastic 将确认传入的数据并提供传入数据的预览。选择 View assets 以监控您的数据。
开始监控数据
设置完成后,您就可以开始查看您的 Bitwarden 组织数据了。选择任何一个 Bitwarden 仪表板来监控与仪表板相关的数据。以下是每个仪表板监控数据的简要概述:
| 日志 | 描述 |
|---|---|
[Logs Bitwarden] Policy | 查看组织的策略变更,如启用、禁用或更新组织策略。 |
[Logs Bitwarden] Group and Collection | 监控与组织相关的群组和集合的记录事件。 |
[Logs Bitwarden] Event | 监控组织事件日志。在此处了解有关事件日志的更多信息。 |
了解仪表板
查询
Elastic 数据监控利用 Kibana 查询语言 (KQL) 来过滤数据。要了解有关查询和搜索的更多信息,请参阅 Elastic 查询文档。
最后更新于