正在加载

受信任的应用程序

Elastic Stack 无服务器安全

注意

如果您将 Elastic Defend 与其他防病毒 (AV) 软件一起使用,您可能需要配置其他系统以信任 Elastic Endpoint。有关详细信息,请参阅在第三方防病毒应用中将 Elastic Endpoint 列入允许列表

您可以添加应该信任的 Windows、macOS 和 Linux 应用程序,例如其他防病毒或终端安全应用程序。受信任的应用程序旨在帮助缓解性能问题以及与其他安装在主机上的终端软件的不兼容性。受信任的应用程序仅适用于运行 Elastic Defend 集成的主机。

要求

您必须具有 受信任的应用程序 权限或相应的用户角色才能访问此功能。

受信任的应用程序会为 Elastic Defend 创建盲点,因为不再监控这些应用程序是否存在威胁。攻击者利用这些盲点的一种途径是通过 DLL(动态链接库)侧加载,他们利用由受信任的供应商(例如防病毒软件)签名的进程来执行其恶意 DLL。这种活动似乎源自受信任应用程序的进程。

在某些情况下,受信任的应用程序可能仍然会生成警报,例如,如果应用程序的进程事件表明存在恶意行为。为了减少误报警报,请添加一个 Endpoint 警报例外,这可以防止 Elastic Defend 生成警报。要比较受信任的应用程序与其他终端工件,请参阅 优化 Elastic Defend

此外,受信任的应用程序仍然会为可视化和 Elastic Stack 的其他内部用途生成进程事件。要阻止将进程事件写入 Elasticsearch,请使用 事件过滤器来过滤掉您不希望存储在 Elasticsearch 中的特定事件,但请注意,依赖于这些进程事件的功能可能无法正常工作。

默认情况下,受信任的应用程序在全球范围内被所有运行 Elastic Defend 的主机识别。您还可以将受信任的应用程序分配给特定的 Elastic Defend 集成策略,从而使该应用程序仅受分配给该策略的主机信任。

添加受信任的应用程序

  1. 在导航菜单中找到 受信任的应用程序 ,或使用 全局搜索字段

  2. 点击 添加受信任的应用程序

  3. 添加受信任的应用程序 弹出框中填写以下字段

    • 命名您的受信任的应用程序:输入受信任的应用程序的名称。

    • 描述(可选):输入受信任的应用程序的描述。

    • 选择操作系统:从下拉列表中选择适当的操作系统。

    • 字段:选择一个字段来标识受信任的应用程序

      • 哈希:应用程序可执行文件的 MD5、SHA-1 或 SHA-256 哈希值。

      • 路径:应用程序可执行文件的完整文件路径。

      • 签名:(仅限 Windows 和 macOS)应用程序的数字签名者的名称。

        提示

        要查找应用程序的签名者名称,请转到 Discover 并查询应用程序可执行文件的进程名称(例如,process.name : "mctray.exe",对于 McAfee 安全二进制文件)。然后,在结果中搜索 process.code_signature.subject_name 字段,其中包含签名者的名称(例如,McAfee, Inc.)。

    • 运算符:选择一个运算符来定义条件

      • :必须完全等于 Value;不支持通配符。HashSignature 字段类型需要此运算符。
      • 匹配:可以在 Value 中包含通配符,例如 C:\path\*\app.exe。此选项仅适用于 Path 字段类型。可用的通配符是 ?(匹配一个字符)和 *(匹配零个或多个字符)。

    • :输入哈希值、文件路径或签名者名称。要添加其他值,请点击 AND

      注意

      每个受信任的应用程序只能添加一个字段类型值。例如,如果您尝试添加两个 Path 值,您将收到一条错误消息。此外,应用程序的哈希值必须有效才能将其添加为受信任的应用程序。此外,为了最大限度地减少 Elastic Security 应用程序中的可见性差距,请尽可能具体地输入您的条目。例如,将 Signature 信息与已知的 Path 结合使用。

  4. 分配 部分中选择一个选项,以将受信任的应用程序分配给特定的集成策略

    • 全局:将受信任的应用程序分配给 Elastic Defend 的所有集成策略。

    • 按策略:将受信任的应用程序分配给一个或多个特定的 Elastic Defend 集成策略。选择您希望应用程序被信任的每个策略。

      注意

      您也可以选择 按策略 选项,而不立即将策略分配给受信任的应用程序。例如,您可以这样做来创建和查看您的受信任的应用程序配置,然后再通过策略将其付诸行动。

  5. 点击 添加受信任的应用程序 。该应用程序将添加到 受信任的应用程序 列表。

受信任的应用程序 页面显示已添加到 Elastic Security 应用程序中的所有受信任的应用程序。要优化列表,请使用搜索栏按名称、描述或字段值进行搜索。

trusted apps list

您可以单独修改每个受信任的应用程序。您还可以更改受信任的应用程序分配到的策略。

编辑受信任的应用程序

  1. 点击您要编辑的受信任的应用程序上的操作菜单 (…​),然后选择 编辑受信任的应用程序
  2. 根据需要修改详细信息。
  3. 点击 保存

您可以删除受信任的应用程序,这将从所有 Elastic Defend 集成策略中完全删除它。

删除受信任的应用程序

  1. 点击您要删除的受信任的应用程序上的操作菜单 (…​),然后选择 删除受信任的应用程序
  2. 在打开的对话框中,确认您正在删除正确的应用程序,然后点击 删除 。将显示一条确认消息。
© . All rights reserved.