Elastic and Axonius integrate to deliver unified asset intelligence for security teams
TL;DR · AI 摘要
Elastic与Axonius集成,通过统一资产情报提升安全团队的可见性,支持无代理部署和多数据流分析。
核心要点
- 无代理部署减少运维负担,适用于Elastic Cloud Serverless环境
- 应用可见性数据流包含软件、SaaS、浏览器扩展等12类资产信息
- 漏洞数据映射ECS标准,包含CVE/CVSS字段及业务影响分析
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Elastic-Axonius集成
- 无代理部署
- 云原生支持
- 降低运维成本
- 数据流分类
- 应用可见性
- 用户记录
- 漏洞暴露
- 安全事件
- 资产情报应用
- 跨工具可见性
- ECS标准化
金句 / Highlights
值得收藏与分享的关键句。
无代理部署减少80%的基础设施运维成本(适用于云原生环境)
应用可见性数据流包含审计活动、扩展元数据等7个关键字段
漏洞记录关联资产所有权、业务关键性等3个维度信息
Elastic 与 Axonius 集成,为安全团队提供统一的资产情报 | Elastic 博客
Elastic 与 Axonius 集成,为安全团队提供统一的资产情报
在 Elastic Security 中实现设备、身份、SaaS 和暴露面的全面可见性
作者:
Chaison Griffin
2026年7月16日
- 在 Twitter 上分享
- 在 LinkedIn 上分享
- 在 Facebook 上分享
- 邮件分享
- 打印页面
安全团队无法保护他们看不见的内容,例如无法通过数十种工具整合混合云、本地部署和 OT 环境中的设备、身份、应用程序、SaaS 和暴露面。Axonius 专注于聚合和关联这些资产情报,使 IT、安全和治理、风险与合规(GRC)团队能够获得对环境的统一视图。
今天,我们宣布与 Axonius 的集成,将标准化的资产上下文引入 Elastic,使分析师能够在端点告警、网络遥测、身份事件和 Elastic Security 的其他数据中搜索、关联和调查 Axonius 数据。
无代理部署
Axonius 集成支持基于代理和无代理两种部署方式。在 Elastic Cloud Serverless 和 Elastic Cloud Hosted 上支持无代理数据摄入,减少了维护和管理专用代理及其底层基础设施的操作负担。
集成收集的数据内容
Axonius 集成会定期查询 Axonius API,并将标准化文档写入 Elasticsearch 的多个数据流中。每个数据流代表一类资产情报,它们共同填补了传统基于代理的遥测技术无法覆盖的空白。
应用程序可见性 (axonius.application)
这是安全分析师最丰富的数据流。它不是针对单一端点,而是聚合了 Axonius 的完整应用程序表面:已安装软件、SaaS 应用程序、许可证、浏览器扩展、审计活动、业务应用程序元数据、秘密信息和跨越管理和非管理区域的 URL。
关键字段包括 audit_activities(与特定用户和应用程序关联的登录、创建、更新、删除、重置密码等操作)、区分 IT 部署工具与用户安装工具的扩展元数据,以及跨身份和应用程序景观的 SaaS 覆盖数据。
用户 (axonius.user)
用户记录被标准化为 ECS user.* 字段。由于 Axonius 聚合了人力资源系统、目录、SaaS 平台和安全工具的数据,这些记录经常揭示出单一数据源(如孤立身份、服务账户或在一个系统中存在而在另一个系统中缺失的用户)无法发现的账户。
漏洞与暴露 (axonius.exposure)
这些包含 CVE 和 CVSS 字段的漏洞相关事件被映射到 ECS vulnerability.*。暴露数据反映了跨连接工具的相关信息,这意味着相同的 CVE 可以在同一记录中关联到资产所有权、业务关键性和控制覆盖情况。
安全事件与发现 (axonius.incident, axonius.alert_finding)
来自连接工具的事件和发现,包括云工作负载警报、适配器健康故障和平台级发现,会根据适用情况补充严重性、推荐文本和MITRE导向的标签。这些记录会被标记为event.kind: alert,使其与Elastic检测规则工作流兼容。
基础设施和操作上下文(axonius.storage, axonius.ticket, axonius.adapter, axonius.gateway)
云和对象存储资产、包含状态和优先级时间线的ITSM工单、适配器连接健康状况以及网关元数据也被包含在内。适配器健康流(axonius.adapter)需要特别关注,因为它能指示数据源何时停止发送数据,这通常是覆盖范围偏移的第一个信号。
从警报到调查:使用ES|QL和工作流
Elastic工作流可以自动化资产信息丰富过程,使每个Elasticsearch查询语言(ES|QL)查询都能针对实时预构建的查找索引运行,消除手动查找和工具切换。工作流会定期搜索Axonius资产数据并将其写入专用索引集的查找模式。然后可以在ES|QL查询中引用该查找索引,实时通过资产上下文丰富日志和警报,将事件与设备所有者、业务部门或风险评分等属性相关联,无需任何手动查找。
在威胁狩猎或进行调查时,原始日志数据无法告诉你设备的所有者、设备上运行的软件以及是否符合合规基线。Axonius提供了这些上下文信息。
ES|QL查找连接
以下是一个使用工作流创建的查找索引,将Axonius资产数据上下文丰富到失败认证事件的ES|QL查询示例。
Elastic代理构建器
分析师还可以使用Elastic代理构建器通过自然语言构建工作流:描述所需的自动化需求,通过聊天迭代,并完全跳过手动配置。
在Elastic Security中直接操作化资产情报
将Axonius与Elastic集成,使安全团队能够通过将标准化的资产情报(包括设备、身份、应用程序、漏洞和暴露情况)直接引入Elastic Security,获得环境的统一视图。借助Elastic工作流和ES|QL实现的自动查找索引丰富和实时关联,分析师可以更快地从警报过渡到调查,并随时掌握完整的资产上下文。结果:分析师花更少时间组装上下文,更多时间专注于关键调查。
立即了解Axonius集成的更多信息并进行尝试。
本文中描述的任何功能或功能的发布和时间安排均由Elastic单独决定。目前不可用的任何功能或功能可能无法按时交付,甚至可能不会交付。
在本文中,我们可能使用或引用了第三方生成式AI工具,这些工具由各自的所有者拥有和运营。Elastic对第三方工具没有任何控制权,我们不对其内容、操作或使用承担任何责任或赔偿责任,也不对因使用这些工具可能导致的任何损失或损害负责。在使用AI工具处理个人、敏感或机密信息时,请务必谨慎。您提交的任何数据可能会用于AI训练或其他用途。无法保证您提供的信息将被安全保存或保密。在使用任何生成式AI工具之前,请熟悉其隐私政策和使用条款。
Elastic、Elasticsearch及相关标识是elasticsearch B.V.在美国和其他国家/地区的商标、标志或注册商标。所有其他公司和产品名称均为其各自所有者的商标、标志或注册商标。