Elastic Defend 功能权限
Elastic Stack 无服务器安全
您可以创建用户角色并定义权限,以管理 Elastic Security 中的功能访问权限。这允许您在使用最小权限原则的同时,管理对 Elastic Defend 功能的访问。
要配置角色和权限,请在导航菜单中找到 角色 ,或者使用 全局搜索字段 。有关使用此 UI 的更多详细信息,请参阅 使用 Kibana 进行角色管理 (适用于 Elastic Stack),或参阅 自定义角色 (适用于无服务器)。
注意
Elastic Defend 的功能权限必须分配给 所有空间 。您不能将它们分配给单个空间。
要授予访问权限,请在 将角色分配给空间 配置 UI 中为 安全 功能选择 全部 ,然后打开 自定义子功能权限 开关。
重要提示
为整个 安全 功能选择 全部 不会启用任何子功能。您还必须启用 自定义子功能权限 开关,然后单独启用每个子功能权限。
对于以下每个子功能权限,选择您要允许的访问类型
- 全部 :用户拥有对该功能的完全访问权限,包括执行所有可用操作和管理配置。
- 读取 :用户可以查看该功能,但无法执行任何操作或管理配置(某些功能没有此权限)。
- 无 :用户无法访问或查看该功能。
| 端点列表 | 访问 端点 页面,其中列出了运行 Elastic Defend 的所有主机以及相关的集成详细信息。 |
| 端点洞察 | 访问 自动故障排除 ,以检查您的主机是否安装了第三方 AV 软件。 |
| 受信任的应用程序 | 访问 受信任的应用程序 页面,以修复与其他软件(如防病毒或端点安全应用程序)的冲突。 |
| 主机隔离例外 | 访问 主机隔离例外 页面,以添加隔离主机仍然可以与之通信的特定 IP 地址。 |
| 阻止列表 | 访问 阻止列表 页面,以防止指定的应用程序在主机上运行,从而扩展 Elastic Defend 认为恶意的进程列表。 |
| 事件过滤器 | 访问 事件过滤器 页面,以过滤掉您不想存储在 Elasticsearch 中的端点事件。 |
| Elastic Defend 策略管理 | 访问 策略 页面和 Elastic Defend 集成策略,以配置保护、事件收集和高级策略功能。 |
| 响应操作历史记录 | 访问端点的 响应操作历史记录 。 |
| 主机隔离 | 允许用户 隔离和释放主机 。 |
| 进程操作 | 执行与主机进程相关的 响应操作 ,包括 processes 、 kill-process 和 suspend-process 。 |
| 文件操作 | 在响应控制台中执行与文件相关的 响应操作 。 |
| 执行操作 | 在响应控制台中执行 shell 命令和与脚本相关的 响应操作 。 这些命令使用运行 Elastic Defend 集成的同一用户帐户在主机上运行,该帐户通常对系统拥有完全控制权。仅将此功能权限授予需要此级别访问权限的 Elastic Security 用户。 |
| 扫描操作 | 在响应控制台中执行文件夹扫描 响应操作 。 |
Elastic Stack
从 Elastic Security 8.6 或更早版本升级后,对于任何新的端点管理功能权限,现有用户角色默认情况下将被分配 无 ,您需要显式地分配它们。但是,以前许多功能需要内置的 superuser 角色,并且以前拥有此角色的用户在升级后仍然拥有该角色。
您可能希望使用更集中的基于功能的权限来替换广泛允许的 superuser 角色,以确保用户只能访问他们需要的特定功能。有关分配角色和权限的更多详细信息,请参阅 Kibana 角色管理 。