端点保护规则
Elastic Stack 无服务器安全
端点保护规则是预构建规则,旨在帮助您管理和响应 Elastic Endpoint 生成的警报。 Elastic Endpoint 是安装的组件,用于执行 Elastic Defend 的威胁监控和预防。 这些规则包括端点安全规则以及针对不同 Elastic Defend 保护功能的其他检测和预防规则。
要接收 Elastic Endpoint 警报,您必须在主机上安装 Elastic Agent 和 Elastic Defend 集成(请参阅安装 Elastic Defend)。
触发端点保护规则时,Elastic Endpoint 警报将作为检测警报显示在 Elastic Security 应用程序中。 检测警报名称取自 Elastic Endpoint 警报消息,并覆盖“警报”表中的预构建规则名称。 例如,对于恶意软件防护,以下 Elastic Endpoint 警报将显示为检测警报
- 恶意软件预防警报
- 恶意软件检测警报
端点安全规则会自动从所有传入的 Elastic Endpoint 警报创建警报。
当您安装 Elastic 预构建规则时,默认情况下会启用 Elastic Defend。
以下端点保护规则使您可以更精细地控制如何处理生成的警报。 这些规则是为 Elastic Defend 的每个端点保护功能量身定制的,包括恶意软件、勒索软件、内存威胁和恶意行为。 启用这些规则使您可以根据保护功能以及是否已预防或检测到恶意活动来配置更具体的操作。
- 行为 - 已检测 - Elastic Defend
- 行为 - 已阻止 - Endpoint Defend
- 恶意文件 - 已检测 - Elastic Defend
- 恶意文件 - 已阻止 - Elastic Defend
- 内存签名 - 已检测 - Elastic Defend
- 内存签名 - 已阻止 - Elastic Defend
- 勒索软件 - 已检测 - Elastic Defend
- 勒索软件 - 已阻止 - Elastic Defend
如果您选择使用特定于功能的保护规则,我们建议您禁用端点安全规则,因为同时使用两者会导致重复警报。
要使用这些规则,您需要在 Elastic Security 应用程序的“**规则**”页面上手动启用它们。 请按照安装和启用 Elastic 预构建规则的说明进行操作。
所有端点保护规则共享一个名为“端点安全例外列表”的通用例外列表。 这样可以确保,如果您在使用端点安全规则和特定于功能的保护规则之间切换,则您现有的Elastic Endpoint 例外继续适用。