Elastic Blog

Elastic and Axonius integrate to deliver unified asset intelligence for security teams

8.5内容质量

TL;DR · AI 摘要

Elastic与Axonius集成,通过统一资产情报提升安全团队的可见性,支持无代理部署和多数据流分析。

核心要点

  • 无代理部署减少运维负担,适用于Elastic Cloud Serverless环境
  • 应用可见性数据流包含软件、SaaS、浏览器扩展等12类资产信息
  • 漏洞数据映射ECS标准,包含CVE/CVSS字段及业务影响分析

结构提纲

按章节快速跳转。

  1. 安全团队需要跨工具的资产可见性以应对现代威胁。

  2. ElasticAxonius合作实现资产情报统一化。

  3. 支持云原生环境的轻量级数据采集方案。

  4. 涵盖应用、用户、漏洞、安全事件四类数据流。

  5. 聚合软件、SaaS、许可证等12类资产数据。

  6. CVE/CVSS数据标准化至ECS框架。

思维导图

用一张图看清主题之间的关系。

查看大纲文本(无障碍 / 无 JS 友好)
  • Elastic-Axonius集成
    • 无代理部署
      • 云原生支持
      • 降低运维成本
    • 数据流分类
      • 应用可见性
      • 用户记录
      • 漏洞暴露
      • 安全事件
    • 资产情报应用
      • 跨工具可见性
      • ECS标准化

金句 / Highlights

值得收藏与分享的关键句。

#Elastic#Axonius#安全#集成#资产情报
打开原文

Elastic 与 Axonius 集成,为安全团队提供统一的资产情报 | Elastic 博客

Elastic 与 Axonius 集成,为安全团队提供统一的资产情报

在 Elastic Security 中实现设备、身份、SaaS 和暴露面的全面可见性

作者:

Chaison Griffin

2026年7月16日

  • 在 Twitter 上分享
  • 在 LinkedIn 上分享
  • 在 Facebook 上分享
  • 邮件分享
  • 打印页面

安全团队无法保护他们看不见的内容,例如无法通过数十种工具整合混合云、本地部署和 OT 环境中的设备、身份、应用程序、SaaS 和暴露面。Axonius 专注于聚合和关联这些资产情报,使 IT、安全和治理、风险与合规(GRC)团队能够获得对环境的统一视图。

今天,我们宣布与 Axonius 的集成,将标准化的资产上下文引入 Elastic,使分析师能够在端点告警、网络遥测、身份事件和 Elastic Security 的其他数据中搜索、关联和调查 Axonius 数据。

无代理部署

Axonius 集成支持基于代理和无代理两种部署方式。在 Elastic Cloud Serverless 和 Elastic Cloud Hosted 上支持无代理数据摄入,减少了维护和管理专用代理及其底层基础设施的操作负担。

集成收集的数据内容

Axonius 集成会定期查询 Axonius API,并将标准化文档写入 Elasticsearch 的多个数据流中。每个数据流代表一类资产情报,它们共同填补了传统基于代理的遥测技术无法覆盖的空白。

应用程序可见性 (axonius.application)

这是安全分析师最丰富的数据流。它不是针对单一端点,而是聚合了 Axonius 的完整应用程序表面:已安装软件、SaaS 应用程序、许可证、浏览器扩展、审计活动、业务应用程序元数据、秘密信息和跨越管理和非管理区域的 URL。

关键字段包括 audit_activities(与特定用户和应用程序关联的登录、创建、更新、删除、重置密码等操作)、区分 IT 部署工具与用户安装工具的扩展元数据,以及跨身份和应用程序景观的 SaaS 覆盖数据。

用户 (axonius.user)

用户记录被标准化为 ECS user.* 字段。由于 Axonius 聚合了人力资源系统、目录、SaaS 平台和安全工具的数据,这些记录经常揭示出单一数据源(如孤立身份、服务账户或在一个系统中存在而在另一个系统中缺失的用户)无法发现的账户。

漏洞与暴露 (axonius.exposure)

这些包含 CVE 和 CVSS 字段的漏洞相关事件被映射到 ECS vulnerability.*。暴露数据反映了跨连接工具的相关信息,这意味着相同的 CVE 可以在同一记录中关联到资产所有权、业务关键性和控制覆盖情况。

安全事件与发现 (axonius.incident, axonius.alert_finding)

来自连接工具的事件和发现,包括云工作负载警报、适配器健康故障和平台级发现,会根据适用情况补充严重性、推荐文本和MITRE导向的标签。这些记录会被标记为event.kind: alert,使其与Elastic检测规则工作流兼容。

基础设施和操作上下文(axonius.storage, axonius.ticket, axonius.adapter, axonius.gateway)

云和对象存储资产、包含状态和优先级时间线的ITSM工单、适配器连接健康状况以及网关元数据也被包含在内。适配器健康流(axonius.adapter)需要特别关注,因为它能指示数据源何时停止发送数据,这通常是覆盖范围偏移的第一个信号。

从警报到调查:使用ES|QL和工作流

Elastic工作流可以自动化资产信息丰富过程,使每个Elasticsearch查询语言(ES|QL)查询都能针对实时预构建的查找索引运行,消除手动查找和工具切换。工作流会定期搜索Axonius资产数据并将其写入专用索引集的查找模式。然后可以在ES|QL查询中引用该查找索引,实时通过资产上下文丰富日志和警报,将事件与设备所有者、业务部门或风险评分等属性相关联,无需任何手动查找。

在威胁狩猎或进行调查时,原始日志数据无法告诉你设备的所有者、设备上运行的软件以及是否符合合规基线。Axonius提供了这些上下文信息。

ES|QL查找连接

以下是一个使用工作流创建的查找索引,将Axonius资产数据上下文丰富到失败认证事件的ES|QL查询示例。

Elastic代理构建器

分析师还可以使用Elastic代理构建器通过自然语言构建工作流:描述所需的自动化需求,通过聊天迭代,并完全跳过手动配置。

在Elastic Security中直接操作化资产情报

将Axonius与Elastic集成,使安全团队能够通过将标准化的资产情报(包括设备、身份、应用程序、漏洞和暴露情况)直接引入Elastic Security,获得环境的统一视图。借助Elastic工作流和ES|QL实现的自动查找索引丰富和实时关联,分析师可以更快地从警报过渡到调查,并随时掌握完整的资产上下文。结果:分析师花更少时间组装上下文,更多时间专注于关键调查。

立即了解Axonius集成的更多信息并进行尝试。

本文中描述的任何功能或功能的发布和时间安排均由Elastic单独决定。目前不可用的任何功能或功能可能无法按时交付,甚至可能不会交付。

在本文中,我们可能使用或引用了第三方生成式AI工具,这些工具由各自的所有者拥有和运营。Elastic对第三方工具没有任何控制权,我们不对其内容、操作或使用承担任何责任或赔偿责任,也不对因使用这些工具可能导致的任何损失或损害负责。在使用AI工具处理个人、敏感或机密信息时,请务必谨慎。您提交的任何数据可能会用于AI训练或其他用途。无法保证您提供的信息将被安全保存或保密。在使用任何生成式AI工具之前,请熟悉其隐私政策和使用条款。

Elastic、Elasticsearch及相关标识是elasticsearch B.V.在美国和其他国家/地区的商标、标志或注册商标。所有其他公司和产品名称均为其各自所有者的商标、标志或注册商标。

Share