隔离主机
Elastic Stack 无服务器安全
主机隔离允许您将主机与网络隔离,阻止与网络上其他主机的通信,直到您释放主机。 隔离主机对于响应恶意活动或防止潜在攻击非常有用,因为它可防止跨其他主机的横向移动。
但是,被隔离的主机仍然可以将数据发送到 Elastic Security。 您还可以创建主机隔离例外,允许隔离的主机仍然可以与特定的 IP 地址通信,即使它们被阻止访问网络的其余部分。
您可以从检测警报的详细信息弹出窗口、端点页面或端点响应控制台隔离主机。 成功隔离主机后,Agent status 字段旁边会显示 Isolated 状态,您可以在警报详细信息弹出窗口或端点列表表中查看该状态。
如果请求失败,请先验证 Elastic Agent 和您的端点是否都在线,然后再重试。
在主机上执行的所有操作都会在主机的响应操作历史记录中进行跟踪,您可以从“端点”页面访问该历史记录。 有关更多信息,请参阅隔离主机 > 查看主机隔离历史记录。
从检测警报隔离主机
打开检测警报
- 从警报表或时间线:单击查看详细信息(
)。 - 从具有附加警报的案例中:单击显示警报详细信息 (>)。
- 从警报表或时间线:单击查看详细信息(
单击执行操作 → 隔离主机。
输入评论以描述您隔离主机的原因(可选)。
单击确认。
从端点隔离主机
在导航菜单中找到端点,或使用全局搜索字段,然后
- 在 Endpoint 列中选择相应的端点,然后在端点详细信息弹出窗口中单击 Take action → Isolate host。
- 单击相应端点上的 Actions 菜单 (…),然后选择 Isolate host。
输入评论以描述您隔离主机的原因(可选)。
单击确认。
从响应控制台隔离主机
使用规则的端点响应操作自动隔离主机
请注意,自动主机隔离可能会导致意外后果,例如中断合法用户活动或阻止关键业务流程。
将端点响应操作添加到新的或现有的自定义查询规则。 每当满足规则条件时,端点响应操作都会运行
- 新规则:在自定义查询规则创建的最后一步中,转到 Response Actions 部分并选择 Elastic Defend。
- 现有规则:编辑规则的设置,然后转到 Actions 选项卡。在该选项卡中,在 Response Actions 部分下选择 Elastic Defend。
在 Response action 字段中,选择 Isolate。
输入评论以描述您隔离主机的原因(可选)。
要完成添加响应操作,请单击 Create & enable rule(对于新规则)或 Save changes(对于现有规则)。
成功隔离主机后,会将 Isolated 状态添加到端点。 活动最终用户会收到一条通知,告知计算机已与网络隔离
从检测警报中释放主机
打开检测警报
- 从警报表或时间线:单击查看详细信息()。
- 从具有附加警报的案例中:单击显示警报详细信息 (>)。
- 从警报表或时间线:单击查看详细信息(
从警报详细信息弹出窗口中,单击 Take action → Release host。
输入评论以描述您释放主机的原因(可选)。
单击确认。
从端点释放主机
在导航菜单中找到端点,或使用全局搜索字段,然后
- 在 Endpoint 列中选择相应的端点,然后在端点详细信息弹出窗口中单击 Take action → Release host。
- 单击相应端点上的 Actions 菜单 (…),然后选择 Release host。
输入评论以描述您释放主机的原因(可选)。
单击确认。
从响应控制台释放主机
成功释放主机后,会从端点中删除 Isolated 状态。 活动最终用户会收到一条通知,告知计算机已重新连接到网络
要确认主机是否已成功隔离或释放,请检查响应操作历史记录,其中记录了在主机上执行的响应操作。
转到端点页面,单击端点的名称,然后单击响应操作历史记录选项卡。 您可以过滤此视图中显示的信息。 有关更多详细信息,请参阅响应操作历史记录。
