主机隔离例外
Elastic Stack Serverless Security
您可以为特定的 IP 地址配置主机隔离例外,以便被隔离的主机仍然可以与这些 IP 地址通信,即使它们被阻止与您的网络其他部分通信。 被隔离的主机仍然可以向 Elastic Security 发送数据,因此您无需为它们设置主机隔离例外。
主机隔离例外支持 IPv4 地址,并可选择使用无类别域间路由 (CIDR) 表示法。
- 每个主机隔离例外 IP 地址都应是一个高度信任和安全的位置,因为您允许它与已被隔离的主机通信,以防止潜在威胁蔓延。
- 如果您的主机依赖 VPN 进行网络通信,您还应该为这些 VPN 服务器的 IP 地址设置主机隔离例外。
默认情况下,主机隔离例外在运行 Elastic Defend 的所有主机上全局识别。 您还可以将主机隔离例外分配给特定的 Elastic Defend 集成策略,使其仅影响分配给该策略的主机。
在导航菜单中查找 主机隔离例外,或使用全局搜索字段。
单击 添加主机隔离例外。
在 添加主机隔离例外 弹出窗口中填写以下字段
为您的主机隔离例外命名:输入名称以标识主机隔离例外。描述:输入描述以提供有关主机隔离例外的更多信息(可选)。输入 IP 地址:输入您要允许与隔离主机通信的 IP 地址。 这必须是 IPv4 地址,可以选择使用 CIDR 表示法(例如,0.0.0.0或1.0.0.0/24)。
在 分配 部分中选择一个选项,将主机隔离例外分配给特定的集成策略
全局:将主机隔离例外分配给 Elastic Defend 的所有集成策略。按策略:将主机隔离例外分配给一个或多个特定的 Elastic Defend 集成策略。 选择您希望应用主机隔离例外的每个策略。注意您也可以选择
按策略选项,而不立即将策略分配给主机隔离例外。 例如,您可以这样做来创建和查看您的主机隔离例外配置,然后在通过策略将其投入使用之前。
单击 添加主机隔离例外。 新的例外将添加到 主机隔离例外 列表中。
主机隔离例外 页面显示已为 Elastic Security 配置的所有主机隔离例外。 要细化列表,请使用搜索栏按名称、描述或 IP 地址搜索。
您可以单独修改每个主机隔离例外,并更改分配给主机隔离例外的策略。
编辑主机隔离例外
- 单击您要编辑的例外的操作菜单 (…),然后选择 编辑例外。
- 根据需要修改详细信息。
- 单击 保存。 新修改的例外将显示在列表顶部。
您可以删除主机隔离例外,这将从所有 Elastic Defend 集成策略中完全删除它。
删除主机隔离例外
- 在您要删除的例外上单击操作菜单 (…),然后选择 删除例外。
- 在打开的对话框中,确认您正在删除正确的主机隔离例外,然后单击 删除。 将显示一条确认消息。