加载中

事件捕获和 Elastic Defend

Elastic Stack Serverless Security

Elastic Defend 收集有关系统活动的精选数据,以便尽可能多地检测和阻止威胁,同时平衡存储和性能开销。为此,Elastic Defend 不旨在提供所有系统事件的完整捕获。Elastic Defend 生成的事件数据可能会根据需要进行聚合、截断或去重,以优化威胁检测和阻止。

您可以通过其他 Elastic 集成 和工具来补充 Elastic Defend 的保护功能,这些工具可以提供更多可见性和历史数据。请参阅以下部分,以扩展针对特定系统事件的数据收集。

网络端口创建和删除

Elastic Defend 会跟踪 TCP 连接。如果创建了端口但没有流量,则不会生成任何事件。

为了完整捕获网络端口的创建和删除,请考虑使用 自定义 Windows 事件日志 集成捕获 Windows 事件 ID 5158。

网络入站/出站连接

Elastic Defend 会跟踪 TCP 连接,这不包括网络入站/出站连接。

为了完整捕获网络流量,请考虑使用 网络流量捕获 集成部署 Packetbeat。

用户行为

Elastic Defend 仅捕获其行为保护所需的与用户安全相关的事件。这不包括所有用户事件,例如登录和注销,或每次创建、删除或修改用户帐户时。

为了完整捕获所有或特定的 Windows 安全事件,请考虑使用 自定义 Windows 事件日志 集成。

系统服务注册、删除和修改

Elastic Defend 仅捕获其行为保护引擎所需的与系统服务安全相关的事件。服务创建和修改也可以在注册表活动中检测到,Elastic Defend 针对此有内部规则,例如 来自可疑内存的注册表或文件修改

为了完整捕获所有或特定的 Windows 安全事件,请考虑使用 自定义 Windows 事件日志 集成。特别是,捕获 Windows 事件 ID 4697 等事件。

内核驱动程序注册、删除和查询

Elastic Defend 会在每个驱动程序加载时进行扫描,但它不会每次都生成事件。

驱动程序以系统服务的形式注册到系统中。您可以使用自定义 Windows 事件日志集成捕获此信息,Windows 事件 ID 为 4697。

还可以考虑使用 Winlogbeat 的 Sysmon 模块 捕获 Windows 事件 ID 6。

系统配置文件创建、修改和删除

Elastic Defend 会跟踪系统上所有文件的创建、修改和删除。但是,如上所述,数据可能会被聚合、截断或去重,以仅提供威胁检测和阻止所需的内容。

© . This site is unofficial and not affiliated with Elasticsearch BV.