加载中

第三方响应操作

Elastic Stack Serverless Security

您可以对已加入其他第三方终端保护系统(如 CrowdStrike 或 SentinelOne)的主机执行响应操作。例如,您可以指示其他系统将可疑终端与您的网络隔离,而无需离开 Elastic Security UI。

Requirements
  • 第三方响应操作需要 Elastic Stack 中有合适的 订阅,或者在 Serverless 中有合适的 项目功能
  • 每种响应操作类型都有其特定的用户角色权限要求。在 终端响应操作 中查找操作的角色要求。
  • 要将 Elastic Security 与第三方系统连接,还需要额外的 配置

这些响应操作支持已加入 CrowdStrike 的主机

这些响应操作支持已加入 Microsoft Defender for Endpoint 的主机

  • 使用以下任一方法隔离和释放主机

    • 从检测警报
    • 从响应控制台

    有关更多详细信息,请参阅有关隔离释放主机的说明。

这些响应操作支持已加入 SentinelOne 的主机

  • 使用以下任一方法隔离和释放主机

    • 从检测警报
    • 从响应控制台

    有关更多详细信息,请参阅有关隔离释放主机的说明。

  • 使用get-file 响应操作从主机检索文件

    注意

    对于已加入 SentinelOne 的主机,您必须使用密码 Elastic@123 来打开检索到的文件。

  • 使用processes 响应操作获取正在主机上运行的进程列表。对于已加入 SentinelOne 的主机,此命令将返回一个文件下载链接,用于下载进程列表。

  • 使用kill-process 响应操作终止正在主机上运行的进程

    注意

    对于已加入 SentinelOne 的主机,您必须使用参数 --processName 来标识要终止的进程。不支持 --pid--entityId

    例如:kill-process --processName cat --comment "Terminate suspicious process"

  • 响应操作历史记录日志中查看过去响应操作的活动

© . This site is unofficial and not affiliated with Elasticsearch BV.