为 Windows 端点配置自愈回滚
Elastic Stack 无服务器安全
当启用的保护功能生成预防警报时,Elastic Defend 的自愈功能会将 Windows 端点上的文件更改回滚。在预防警报前五分钟内在主机上发生的文件更改将恢复到之前的状态(可能是在警报前最多两个小时)。
这有助于控制恶意活动的影响,因为 Elastic Defend 不仅会停止该活动,还会删除在检测之前部署的任何攻击工件。
要求
- 自愈回滚仅支持 Windows 端点。
- 在 Elastic Stack 中,此功能需要 Platinum 或 Enterprise 订阅。
- 在无服务器中,此功能需要 Endpoint Protection Complete 项目功能。
警告
此功能可能会导致永久性数据丢失,因为它会覆盖最近的更改并删除主机上最近添加的文件。自愈回滚针对与检测到的威胁相关的更改,但也可能包括与威胁没有直接关系的偶然操作。
此外,回滚由每个 Elastic Defend 预防警报触发,因此您应该调整系统以消除误报,然后再启用此功能。
- 在导航菜单中或使用全局搜索字段查找 策略,然后选择您要配置的集成策略。
- 向下滚动到策略的底部,然后单击 显示高级设置。
- 为设置
windows.advanced.alerts.rollback.self_healing.enabled输入true。 - 单击 保存。