正在加载

使用移动设备管理在 macOS 上部署 Elastic Defend

Elastic Stack 无服务器安全

要静默安装和部署 Elastic Defend,您需要为 Elastic Endpoint 配置一个移动设备管理 (MDM) 配置文件—Elastic Endpoint 是执行 Elastic Defend 威胁监控和防御的已安装组件。这允许您预先批准 Elastic Endpoint 系统扩展并授予所有必要组件完全磁盘访问权限。

本页介绍如何使用 Jamf 静默部署 Elastic Defend。

在 Jamf 中,为 Elastic Endpoint 创建一个配置配置文件。按照以下步骤配置配置文件

  1. 批准系统扩展。
  2. 批准网络内容过滤。
  3. 启用通知。
  4. 启用完全磁盘访问权限。

  1. 选择“**系统扩展**”选项以配置 Elastic Endpoint 配置配置文件的系统扩展策略。

  2. 确保选中“**允许用户批准系统扩展**”。

  3. 在“**允许的团队 ID 和系统扩展**”部分中,添加 Elastic Endpoint 系统扩展

    1. (可选)输入 Elastic Endpoint 系统扩展的“**显示名称**”。
    2. 从“**系统扩展类型**”下拉列表中,选择“**允许的系统扩展**”。
    3. 在“**团队标识符**”下,输入 2BT3HPN62Z
    4. 在“**允许的系统扩展**”下,输入 co.elastic.systemextension

  4. 保存配置。

system extension jamf

批准网络内容过滤

  1. 选择“**内容过滤器**”选项以配置 Elastic Endpoint 配置配置文件的网络扩展策略。

  2. 在“**过滤器名称**”下,输入 ElasticEndpoint

  3. 在“**标识符**”下,输入 co.elastic.endpoint

  4. 在“**套接字过滤器**”部分中,填写以下字段

    1. “**套接字过滤器捆绑包标识符**”:输入 co.elastic.systemextension

    2. “**套接字过滤器指定要求**”:输入以下内容

      identifier "co.elastic.systemextension" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"

  5. 在“**网络过滤器**”部分中,填写以下字段

    1. “**网络过滤器捆绑包标识符**”:输入 co.elastic.systemextension

    2. “**网络过滤器指定要求**”:输入以下内容

      identifier "co.elastic.systemextension" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"

  6. 保存配置。

content filtering jamf

  1. 选择“**通知**”选项以配置 Elastic Endpoint 配置配置文件的通知中心策略。

  2. 在“**应用名称**”下,输入 Elastic Security.app

  3. 在“**捆绑包 ID**”下,输入 co.elastic.alert

  4. 在“**设置**”部分中,包括以下带有以下设置的选项

    1. “**重要警报**”:启用
    2. “**通知**”:启用
    3. “**横幅警报类型**”:持久
    4. “**锁定屏幕上的通知**”:显示
    5. “**通知中心中的通知**”:显示
    6. “**徽章应用图标**”:显示
    7. “**播放通知声音**”:启用

  5. 保存配置。

notifications jamf

  1. 选择“**隐私偏好设置策略控制**”选项以配置 Elastic Endpoint 配置配置文件的完全磁盘访问策略。

  2. 添加一个带有以下详细信息的新条目

    1. 在“**标识符**”下,输入 co.elastic.systemextension

    2. 从“**标识符类型**”下拉列表中,选择“**捆绑包 ID**”。

    3. 在“**代码要求**”下,输入以下内容

      identifier "co.elastic.systemextension" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"

    4. 确保选中“**验证静态代码要求**”。

  3. 添加第二个带有以下详细信息的新条目

    1. 在“**标识符**”下,输入 co.elastic.endpoint

    2. 从“**标识符类型**”下拉列表中,选择“**捆绑包 ID**”。

    3. 在“**代码要求**”下,输入以下内容

      identifier "co.elastic.endpoint" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"

    4. 确保选中“**验证静态代码要求**”。

  4. 添加第三个带有以下详细信息的新条目

    1. 在“**标识符**”下,输入 co.elastic.elastic-agent

    2. 从“**标识符类型**”下拉列表中,选择“**捆绑包 ID**”。

    3. 在“**代码要求**”下,输入以下内容

      identifier "co.elastic.elastic-agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"

    4. 确保选中“**验证静态代码要求**”。

  5. 保存配置。

fda jamf

完成这些步骤后,生成移动配置配置文件并将其安装到 macOS 计算机上。安装配置文件后,无需用户交互即可部署 Elastic Defend。

© . All rights reserved.