配置 Elastic Defend 的集成策略

Elastic Stack 无服务器安全

在安装了带有 Elastic Defend 集成的 Elastic Agent 之后，一些保护功能（包括防止恶意软件、勒索软件、内存威胁和恶意行为）将在受保护的主机上自动启用。如果需要，您可以更新集成策略以配置保护设置、事件收集、防病毒设置、受信任的应用程序、事件过滤器、主机隔离例外和阻止的应用程序，以满足您的组织的安全需求。

您还可以创建多个 Elastic Defend 集成策略来维护唯一的配置配置文件。要创建其他 Elastic Defend 集成策略，请在导航菜单中找到 集成，或使用 全局搜索字段，然后按照 添加 Elastic Defend 集成 的步骤操作。

要配置集成策略

1. 在导航菜单中找到 策略，或使用 全局搜索字段。

2. 选择要配置的集成策略。此时将显示集成策略配置页面。

3. 在 策略设置 选项卡上，根据需要查看和配置以下设置

   • 恶意软件防护
   • 勒索软件防护
   • 内存威胁防护
   • 恶意行为防护
   • 攻击面缩小
   • 事件收集
   • 将 Elastic Security 注册为防病毒软件（可选）
   • 高级策略设置（可选）
   • 保存常规策略设置

4. 单击 受信任的应用程序、事件过滤器、主机隔离例外 和 阻止列表 选项卡，以查看分配给此集成策略的端点策略工件（有关更多信息，请参阅 受信任的应用程序、事件过滤器、主机隔离例外 和 阻止列表）。在这些选项卡上，您可以

   • 展开并查看工件：单击其名称旁边的箭头。
   • 查看工件的详细信息：单击操作菜单 (…​)，然后选择 查看完整详细信息。
   • 取消分配工件：单击操作菜单 (…​)，然后选择 从策略中删除。这不会删除工件；只会将其从当前策略中取消分配。
   • 分配现有工件：单击 将 x 分配给策略，然后从浮出控件中选择一个项目。此视图列出了尚未分配给当前策略的任何现有工件。
   注意

   在配置集成策略时，您无法创建新的端点策略工件。要创建新的工件，请转到 Elastic Security 应用程序中的其主页（例如，要创建新的受信任应用程序，请在导航菜单中找到 受信任的应用程序，或使用 全局搜索字段）。

5. 单击 保护更新 选项卡，以配置 Elastic Defend 如何从 Elastic 接收更新，其中包括最新的威胁检测、恶意软件模型和其他保护工件。有关更多信息，请参阅 配置保护工件的更新。

Elastic Defend 恶意软件防护使用机器学习模型检测并阻止恶意攻击，该模型查找静态属性以确定文件是恶意文件还是良性文件。

默认情况下，恶意软件防护在 Windows、macOS 和 Linux 主机上启用。要禁用恶意软件防护，请关闭 恶意软件防护 开关。

恶意软件防护级别为

• 检测：检测主机上的恶意软件并生成警报。Agent 将不阻止恶意软件。您必须注意并分析生成的任何恶意软件警报。
• 防止（默认）：检测主机上的恶意软件，阻止其执行并生成警报。

以下是恶意软件防护的其他可用选项

• 阻止列表：启用或禁用与此 Elastic Defend 策略关联的所有主机的 阻止列表。借助阻止列表，您可以阻止指定的应用程序在主机上运行，从而扩展 Elastic Defend 视为恶意的进程列表。
• 修改时扫描文件：默认情况下，Elastic Defend 每次修改文件时都会扫描文件，这可能会在频繁修改文件的服务器和开发人员计算机等主机上占用大量资源。关闭此选项可以仅在执行文件时扫描文件。Elastic Defend 将继续在尝试运行时识别恶意软件，从而提供强大的保护级别，同时提高端点性能。

选择 通知用户 以在检测到或阻止活动时在主机操作系统中发送推送通知。默认情况下，为 防止 选项启用通知。

×

当为恶意软件防护启用 防止 时，Elastic Defend 将隔离找到的任何恶意文件（包括 阻止列表 中定义的文件）。具体而言，Elastic Defend 会将其从当前位置删除，使用加密密钥 ELASTIC 对其进行加密，将其移动到不同的文件夹，并将其重命名为 GUID 字符串，例如 318e70c2-af9b-4c3a-939d-11410b9a112c。

隔离文件夹位置因操作系统而异

• macOS：/System/Volumes/Data/.equarantine
• Linux：.equarantine 位于要隔离的文件的挂载点的根目录
• Windows - Elastic Defend 版本 8.5 及更高版本：[DriveLetter:]\.equarantine，除非文件来自 C: 驱动器。这些文件将移动到 C:\Program Files\Elastic\Endpoint\state\.equarantine。
• Windows - Elastic Defend 版本 8.4 及更早版本：任何驱动器的 [DriveLetter:]\.equarantine

要将隔离的文件恢复到其原始状态和位置，请添加例外到将该文件识别为恶意文件的规则。如果例外会阻止该规则将文件识别为恶意文件，Elastic Defend 会恢复该文件。

您可以使用响应控制台中的 get-file 响应操作命令访问隔离的文件。为此，请从警报的隔离文件路径字段 (file.Ext.quarantine_path) 复制路径，该字段显示在警报详细信息弹出窗口的突出显示字段下。然后将该值粘贴到 --path 参数中。此操作不会将文件恢复到其原始位置，因此您需要手动执行此操作。

行为勒索软件防护通过分析来自底层系统进程的数据来检测和阻止 Windows 系统上的勒索软件攻击。它对各种广泛传播的勒索软件家族有效，包括那些以系统的主引导记录为目标的勒索软件。

勒索软件防护级别包括：

• 检测：检测主机上的勒索软件并生成警报。Elastic Defend 不会阻止勒索软件。您必须关注并分析生成的任何勒索软件警报。
• 预防（默认）：检测主机上的勒索软件，阻止其执行并生成警报。

启用勒索软件防护后，放置在主机上目标位置的金丝雀文件可为潜在的勒索软件活动提供早期预警系统。当金丝雀文件被修改时，Elastic Defend 会立即生成勒索软件警报。如果 预防 勒索软件处于活动状态，则 Elastic Defend 将终止修改该文件的进程。

选择 通知用户 以在检测到或阻止活动时在主机操作系统中发送推送通知。默认情况下，为 防止 选项启用通知。

×

内存威胁防护可检测并阻止内存中的威胁，例如 shellcode 注入，这些威胁用于逃避传统的基于文件的检测技术。

内存威胁防护级别包括：

• 检测：检测主机上的内存威胁活动并生成警报。Elastic Defend 不会阻止内存中的活动。您必须关注并分析生成的任何警报。
• 预防（默认）：检测主机上的内存威胁活动，强制进程或线程停止并生成警报。

选择 通知用户 以在检测到或阻止活动时在主机操作系统中发送推送通知。默认情况下，为 防止 选项启用通知。

×

恶意行为防护通过监控系统进程的行为来发现和阻止威胁的可疑活动。与传统的基于文件的检测技术相比，行为信号更难被攻击者逃避。

恶意行为防护级别包括：

• 检测：检测主机上的恶意行为并生成警报。Elastic Defend 不会阻止恶意行为。您必须关注并分析生成的任何警报。
• 预防（默认）：检测主机上的恶意行为，强制进程停止并生成警报。

选择是否使用信誉服务以获得额外的保护。Elastic 的信誉服务利用我们广泛的威胁情报知识来做出高置信度的实时预防决策。例如，信誉服务可以检测可疑的二进制文件下载，这些二进制文件具有低或恶意的信誉。端点直接在 https://cloud.security.elastic.co 与信誉服务通信。

选择 通知用户 以在检测到或阻止活动时在主机操作系统中发送推送通知。默认情况下，为 防止 选项启用通知。

×

此部分可帮助您减少攻击者可以在 Windows 端点上定位的漏洞。

凭据强化：防止攻击者窃取存储在 Windows 系统进程内存中的凭据。打开切换开关以删除与本地安全机构子系统服务 (LSASS) 的标准交互不需要的任何过于宽松的访问权限。此功能强制执行最小权限原则，而不会干扰与 LSASS 相关的良性系统活动。

×

在设置部分中，选择要在每个操作系统上收集的事件类别。默认情况下，会收集大多数类别。

×

您可以通过启用注册为防病毒软件将 Elastic Security 注册为您的主机的防病毒软件。

默认情况下，选择与恶意软件防护级别同步会自动设置防病毒注册，以匹配您配置 Elastic Defend 恶意软件防护的方式。如果恶意软件防护已启用并且设置为预防，则也将启用防病毒注册；在任何其他情况下，将禁用防病毒注册。

如果您不想同步防病毒注册，则可以使用已启用或已禁用手动设置它。

×

具有独特配置和安全要求的用户可以在配置 Elastic Defend 集成策略时选择显示高级设置以支持高级用例。将鼠标悬停在每个设置上以查看其描述。

本节包括：

• 关闭 Elastic Defend 的诊断数据
• 配置 Windows 端点的自我修复回滚
• 配置 Linux 文件系统监控
• 配置数据量

在策略设置选项卡上配置常规设置后，单击保存。将显示确认消息。