正在加载

防止 Elastic Agent 卸载

Elastic Stack Serverless Security

对于注册到 Elastic Defend 的主机,您可以通过在 Agent 策略上启用 Agent 防篡改保护来防止未经授权尝试卸载 Elastic Agent 和 Elastic Endpoint。 这通过防止用户绕过或禁用 Elastic Defend 的端点保护来提供额外的安全层。

启用后,只有在卸载 CLI 命令中包含卸载令牌,才能在主机上卸载 Elastic Agent 和 Elastic Endpoint。 每个 Agent 策略都会生成一个唯一的卸载令牌,您可以在 Agent 策略的设置或 Fleet UI 中检索卸载令牌。

要求
  • 在 Elastic Stack 中,agent 防篡改保护需要 Platinum 或更高订阅
  • 在 Serverless 中,agent 防篡改保护需要 Endpoint Protection Complete 项目功能
  • 主机必须注册到 Elastic Defend 集成。
  • Elastic Agent 必须是 8.11.0 或更高版本。
  • 所有操作系统都支持此功能。
Agent tamper protection setting highlighted on Agent policy settings page

您可以通过配置 Elastic Agent 策略来启用 Agent 防篡改保护。

  1. 在导航菜单中或使用全局搜索字段找到 Fleet

  2. 选择 Agent 策略,然后选择要配置的 Agent 策略。

  3. 在策略详细信息页面上,选择 设置 选项卡。

  4. Agent 防篡改保护 部分中,打开 防止 agent 篡改 设置。

    这使得 获取卸载命令 链接可用,如果您需要 卸载此策略上的 Agent,您可以按照该链接获取卸载令牌和 CLI 命令。

    提示

    您也可以在 Fleet 页面上的 卸载令牌 选项卡上访问 Agent 策略的卸载令牌。 有关更多信息,请参阅 访问卸载令牌

  5. 选择 保存更改

如果您需要卸载令牌才能从端点删除 Elastic Agent,您可以通过多种方式找到它

  • 在 Agent 策略上:转到 Agent 策略的 设置 选项卡,然后单击 获取卸载命令 链接。 将打开 卸载 agent 浮出控件,其中包含带有令牌的完整卸载命令。

  • 在 Fleet 页面上:选择 卸载令牌 以获取为您的 Agent 策略生成的卸载令牌列表。 您可以

    • 单击 令牌 列中的 显示令牌 图标以显示特定令牌。
    • 单击 操作 列中的 查看卸载命令 图标以打开 卸载 agent 浮出控件,其中包含带有令牌的完整卸载命令。
提示

如果您有许多受防篡改保护的 Elastic Agent 策略,您可能希望在单个命令中 提供多个卸载令牌

© . All rights reserved.