阻止列表

Elastic Stack 无服务器安全

使用阻止列表可以阻止指定应用程序在主机上运行，从而扩展 Elastic Defend 视为恶意的进程列表。这有助于确保已知恶意进程不会被最终用户意外执行。

阻止列表不适用于广泛阻止非安全原因的良性应用程序；仅使用它来阻止潜在有害的应用程序。要将阻止列表与其他端点工件进行比较，请参阅 优化 Elastic Defend。

默认情况下，阻止列表条目在全球范围内识别，适用于运行 Elastic Defend 的所有主机。您还可以将阻止列表条目分配给特定的 Elastic Defend 集成策略，这仅在分配给该策略的主机上阻止该进程。

1. 在导航菜单中找到阻止列表或使用全局搜索字段。

2. 点击添加阻止列表条目。将出现添加阻止列表浮出框。

3. 在详细信息部分填写这些字段

   1. 名称：输入一个名称，以标识阻止列表中的应用程序。
   2. 描述：输入描述以提供有关阻止列表条目的更多信息（可选）。

4. 在条件部分，输入有关要阻止的应用程序的以下信息

   1. 选择操作系统：从下拉列表中选择相应的操作系统。

   2. 字段：选择一个字段来标识要阻止的应用程序

      • 哈希：应用程序可执行文件的 MD5、SHA-1 或 SHA-256 哈希值。

      • 路径：应用程序可执行文件的完整文件路径。

      • 签名：（仅限 Windows）应用程序数字签名者的名称。

        提示

        要查找应用程序的签名者名称，请转到 Discover 并查询应用程序可执行文件的进程名称（例如，McAfee 安全二进制文件的 process.name : "mctray.exe"）。然后，在结果中搜索 process.code_signature.subject_name 字段，其中包含签名者的名称（例如，McAfee, Inc.）。

   3. 运算符：对于哈希和路径条件，运算符为 is one of 且无法修改。 对于签名条件，选择 is one of 以输入多个值或 is 以输入一个值。

   4. 值：输入哈希值、文件路径或签名者名称。要输入多个值（例如，已知恶意哈希值的列表），您可以单独输入每个值，或粘贴逗号分隔的列表，然后按 Return。

      注意

      哈希值必须有效才能将其添加到阻止列表。

5. 在 分配 部分中选择一个选项，以将阻止列表条目分配给特定的集成策略

   • 全局：将阻止列表条目分配给所有 Elastic Defend 集成策略。

   • 按策略：将阻止列表条目分配给一个或多个特定的 Elastic Defend 集成策略。 选择要应用阻止列表条目的每个策略。

     注意

     您也可以选择 按策略 选项，而无需立即将策略分配给阻止列表条目。例如，您可以通过这种方式创建和查看阻止列表配置，然后再通过策略将其付诸行动。

6. 点击添加阻止列表。新条目将添加到阻止列表页面。

7. 添加完条目到阻止列表后，请确保为您刚刚分配的 Elastic Defend 集成策略启用了阻止列表

   1. 转到策略页面，然后单击集成策略。
   2. 在策略设置选项卡上，确保恶意软件防护和阻止列表切换开关均已打开。默认情况下，这两个设置都已启用。

阻止列表页面显示已添加到 Elastic Security 应用程序的所有阻止列表条目。要优化列表，请使用搜索栏按名称、描述或字段值进行搜索。

×

您可以单独修改每个阻止列表条目。您也可以更改阻止列表条目分配到的策略。

要编辑阻止列表条目

1. 单击要编辑的阻止列表条目的操作菜单 (…​)，然后选择编辑阻止列表。
2. 根据需要修改详细信息。
3. 点击保存。

您可以删除阻止列表条目，这将从所有 Elastic Defend 策略中完全删除它。这允许最终用户访问先前被阻止的应用程序。

要删除阻止列表条目

1. 单击要删除的阻止列表条目的操作菜单 (…​)，然后选择删除阻止列表。
2. 在打开的对话框中，验证您正在删除正确的阻止列表条目，然后单击删除。将显示确认消息。