自动化响应操作
编辑自动化响应操作
编辑将 Elastic Defend 的 响应操作 添加到检测规则中,以便在事件满足规则条件时自动对受影响的主机执行操作。使用这些操作来支持您对检测到的威胁和可疑事件的响应。
向新的或现有的规则添加自动化响应操作
-
执行以下操作之一
- 新建规则: 在规则创建的最后一步,转到 响应操作 部分并选择 Elastic Defend。
- 现有规则: 编辑规则设置,然后转到 操作 选项卡。在选项卡中,在 响应操作 部分下选择 Elastic Defend。
-
在 响应操作 字段中选择一个选项
- 隔离: 隔离主机,阻止与网络上其他主机的通信。
- 终止进程: 终止主机上的进程。
- 挂起进程: 临时挂起主机上的进程。
请注意,自动主机隔离可能会导致意外后果,例如中断合法用户活动或阻止关键业务流程。
-
对于进程操作,请指定如何识别要终止或挂起的进程
- 打开切换开关以使用警报的 process.pid 值作为标识符。
- 要使用不同的警报字段值来识别进程,请关闭切换开关并输入 自定义字段名称。
- 输入一条注释,描述您在主机上执行此操作的原因(可选)。
- 要完成添加响应操作,请单击 创建并启用规则(对于新规则)或 保存更改(对于现有规则)。