事件捕获和 Elastic Defend

Elastic Stack Serverless Security

Elastic Defend 收集关于系统活动的精选数据，以便检测和阻止尽可能多的威胁，同时平衡存储和性能开销。 因此，Elastic Defend 的设计目的并非提供所有系统事件的完整捕获。 Elastic Defend 生成的事件数据可能会根据需要进行聚合、截断或去重，以优化威胁检测和防御。

您可以利用额外的 Elastic 集成和工具来补充 Elastic Defend 的保护功能，这些集成和工具可以提供更高的可见性和历史数据。 请查阅以下各节，以扩展针对特定系统事件的数据收集。

Elastic Defend 跟踪 TCP 连接。 如果创建了端口但没有流量，则不会生成任何事件。

要完整捕获网络端口的创建和删除，请考虑使用 自定义 Windows 事件日志集成来捕获 Windows 事件 ID 5158。

Elastic Defend 跟踪 TCP 连接，其中不包括网络入/出连接。

要完整捕获网络数据，请考虑使用 网络数据包捕获集成来部署 Packetbeat。

Elastic Defend 仅捕获其行为保护所需的用户的安全事件。 这不包括每个用户事件，例如登录和注销，也不包括每次创建、删除或修改用户帐户。

要完整捕获所有或特定的 Windows 安全事件，请考虑使用 自定义 Windows 事件日志集成。

Elastic Defend 仅捕获其行为保护引擎所需的系统服务安全事件。 还可以通过注册表活动检测到服务创建和修改，Elastic Defend 具有此类活动的内部规则，例如 来自可疑内存的注册表或文件修改。

要完整捕获所有或特定的 Windows 安全事件，请考虑使用 自定义 Windows 事件日志集成。 特别是，捕获诸如 Windows 事件 ID 4697 之类的事件。

Elastic Defend 会扫描加载的每个驱动程序，但不会每次都生成事件。

驱动程序在系统中注册为系统服务。 您可以使用 自定义 Windows 事件日志集成，通过 Windows 事件 ID 4697 来捕获此信息。

还可以考虑使用 Winlogbeat 的 Sysmon 模块来捕获 Windows 事件 ID 6。

Elastic Defend 跟踪系统上所有文件的创建、修改和删除。 但是，如上所述，数据可能会被聚合、截断或去重，以仅提供威胁检测和预防所需的内容。