端点响应操作

Elastic Stack 无服务器安全

响应控制台允许您使用类似于终端的界面在端点上执行响应操作。您可以输入操作命令并获得近乎即时的反馈。操作也会记录在端点的 响应操作历史 中以供参考。

所有端点平台（Linux、macOS 和 Windows）都支持响应操作。

×

从 Elastic Security 的以下任何位置启动响应控制台

• 端点页面 → 操作菜单 (…​) → 响应
• 端点详细信息弹出窗口 → 采取操作 → 响应
• 警报详细信息弹出窗口 → 采取操作 → 响应
• 主机详细信息页面 → 响应

要在端点上执行操作，请在控制台底部的输入区域中输入响应操作命令，然后按 Return。操作的输出显示在控制台中。

如果主机不可用，挂起的操作将在主机上线后执行。挂起的操作在两周后过期，可以在响应操作历史记录中跟踪。

响应控制台中的活动是持久性的，因此您可以离开页面，并且您提交的任何挂起操作将继续运行。要确认操作已完成，请返回响应控制台以查看控制台输出或检查响应操作历史记录。

以下响应操作命令可在响应控制台中使用。

隔离主机，阻止与网络上其他主机的通信。

预定义角色（在 Serverless 中）：三级分析师、SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：主机隔离

示例：isolate --comment "隔离与检测警报相关的主机"

释放隔离的主机，使其能够再次与网络通信。

预定义角色（在 Serverless 中）：三级分析师、SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：主机隔离

示例：release --comment "释放主机，一切看起来都正常"

显示有关主机状态的信息，包括：Elastic Agent 状态和版本、Elastic Defend 集成的策略状态以及主机上次活动的时间。

显示主机上运行的所有进程的列表。此操作可能需要一分钟左右才能完成。

预定义角色（在 Serverless 中）：三级分析师、SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：进程操作

终止进程。您必须包含以下参数之一来标识要终止的进程

• --pid：表示要终止的进程的进程 ID (PID)。
• --entityId：表示要终止的进程的实体 ID。

预定义角色（在 Serverless 中）：三级分析师、SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：进程操作

示例：kill-process --pid 123 --comment "终止可疑进程"

挂起进程。您必须包含以下参数之一来标识要挂起的进程

• --pid：表示要挂起的进程的进程 ID (PID)。
• --entityId：表示要挂起的进程的实体 ID。

预定义角色（在 Serverless 中）：三级分析师、SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：进程操作

示例：suspend-process --pid 123 --comment "挂起可疑进程"

从主机检索文件。文件以密码保护的 .zip 存档下载，以防止文件运行。使用密码 elastic 在安全环境中打开 .zip。

您必须包含以下参数才能指定文件在主机上的位置

• --path：文件的完整路径（包括文件名）。

预定义角色（在 Serverless 中）：三级分析师、SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：文件操作

示例：get-file --path "/full/path/to/file.txt" --comment "可能存在的恶意软件"

在主机上运行 shell 命令。命令的输出和任何错误都会显示在响应控制台中，最多 2000 个字符。完整的输出（stdout 和 stderr）也保存到可下载的 .zip 存档（密码：elastic）。使用以下参数

• --command：（必需）要在主机上运行的 shell 命令。该命令必须由 Linux 和 macOS 主机的 bash 以及 Windows 的 cmd.exe 支持。

  注意

  • 值中的多个连续短划线必须转义；单个短划线不需要转义。例如，要表示名为 /opt/directory--name 的目录，请使用以下命令：/opt/directory\-\-name。
  • 您可以使用引号而无需转义。例如
    execute --command "cd "C:\Program Files\directory""

• --timeout：（可选）主机应等待命令完成的时间。对小时使用 h，对分钟使用 m，对秒使用 s（例如，2s 是两秒）。如果未指定超时，则默认为四小时。

预定义角色（在 Serverless 中）：SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：执行操作

示例：execute --command "ls -al" --timeout 2s --comment "获取所有文件的列表"

将文件上传到主机。该文件将保存到安装 Elastic Endpoint 的主机上的位置。运行命令后，完整路径将返回到控制台中以供参考。使用以下参数

• --file：（必需）要发送到主机的文件。只要您键入此参数，就会出现一个弹出窗口 - 选择它以导航到该文件，或将该文件拖放到该弹出窗口上。
• --overwrite：（可选）如果该文件已存在于主机上，则覆盖该文件。

预定义角色（在 Serverless 中）：三级分析师、SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：文件操作

示例：upload --file --comment "上传修复脚本"

扫描主机上的特定文件或目录以查找恶意软件。这使用 恶意软件保护设置 (例如，检测或阻止选项，或启用阻止列表)，这些设置已在主机的相关 Elastic Defend 集成策略中配置。 使用以下参数

• --path : (必需) 要扫描的文件或目录的绝对路径。

预定义角色 (在 Serverless 中): 三级分析师、SOC 经理或 终端节点运营分析师

所需权限 (在 Elastic Stack 中) 或自定义角色权限 (在 Serverless 中): 扫描操作

示例: scan --path "/Users/username/Downloads" --comment "扫描 Downloads 文件夹中的恶意软件"

在主机上运行脚本。您必须包含以下参数之一来标识要运行的脚本

• --Raw: 直接作为字符串提供的完整脚本内容。
• --CloudFile: 存储在云存储位置中的脚本名称。
• --HostPath: 位于主机上的脚本的绝对或相对文件路径。

您还可以使用以下可选参数

• --CommandLine: 传递给脚本的其他命令行参数，用于自定义其执行。
• --Timeout: 脚本在被强制停止之前可以运行的最长时间（以秒为单位）。如果未指定超时，则默认为 60 秒。

预定义角色（在 Serverless 中）：SOC 经理或 端点运营分析师

必需权限（在 Elastic Stack 中）或自定义角色权限（在 Serverless 中）：执行操作

示例

runscript --CloudFile="CloudScript1.ps1" --CommandLine="-Verbose true" --Timeout=180

runscript --Raw=```Get-ChildItem.```

runscript --HostPath="C:\temp\LocalScript.ps1" --CommandLine="-Verbose true"

添加到命令中以包含解释或描述操作的注释。 注释包含在响应操作历史记录中。

添加到命令中以获取该命令的帮助。

示例: isolate --help

清除响应控制台中的所有输出。

列出控制台输出区域中支持的命令。

单击右上角的 帮助 以打开 帮助 面板，其中列出了可用的响应操作命令和参数作为参考。

×

您可以使用此面板来构建命令，减少输入。单击添加图标 () 将命令添加到输入区域，输入任何其他参数或注释，然后按 Return 运行该命令。

如果终端节点运行的是旧版本的 Elastic Agent，则可能不支持某些响应操作，如信息图标和工具提示所示。 在终端节点上升级 Elastic Agent 以便能够使用最新的响应操作。

×

单击 响应操作历史记录 以显示在终端节点上执行的响应操作的日志，例如隔离主机或终止进程。 您可以过滤在此视图中显示的信息。 有关更多详细信息，请参阅 响应操作历史记录。

×