正在加载

自动化响应操作

Elastic Stack Serverless Security

将 Elastic Defend 的 响应操作添加到检测规则,以便在事件满足规则条件时自动对受影响的主机执行操作。 使用这些操作来支持您对检测到的威胁和可疑事件的响应。

要求
  • 自动化响应操作需要在 Elastic Stack 中具有适当的订阅,或者在 Serverless 中具有项目功能
  • 主机必须安装 Elastic Agent 并集成 Elastic Defend。
  • 您的用户角色必须具有创建检测规则的能力,以及执行特定响应操作的权限(例如,隔离主机的 主机隔离 权限)。

要将自动化响应操作添加到新的或现有的规则

  1. 执行以下操作之一

    • 新规则:在规则创建的最后一步,转到响应操作部分并选择Elastic Defend
    • 现有规则:编辑规则的设置,然后转到操作选项卡。在该选项卡中,在响应操作部分下选择Elastic Defend

  2. 响应操作字段中选择一个选项

    • 隔离隔离主机,阻止与网络上其他主机的通信。

      重要提示

      请注意,自动主机隔离可能会导致意想不到的后果,例如中断合法的用户活动或阻止关键的业务流程。

    • 终止进程:终止主机上的进程。

    • 暂停进程:暂时暂停主机上的进程。

  3. 对于进程操作,指定如何识别要终止或暂停的进程

    • 打开切换开关以将警报的 process.pid 值用作标识符。
    • 要使用不同的警报字段值来识别进程,请关闭切换开关并输入自定义字段名称

  4. 输入描述您为何对主机执行操作的注释(可选)。

  5. 要完成添加响应操作,请单击创建并启用规则(对于新规则)或保存更改(对于现有规则)。

© . All rights reserved.