阻止列表
编辑阻止列表
编辑阻止列表允许您阻止指定应用程序在主机上运行,从而扩展 Elastic Defend 认为具有恶意性质的进程列表。这有助于确保最终用户不会意外执行已知的恶意进程。
阻止列表并非旨在出于非安全原因广泛阻止良性应用程序;仅将其用于阻止潜在有害的应用程序。要将阻止列表与其他端点工件进行比较,请参阅 优化 Elastic Defend。
默认情况下,阻止列表条目在运行 Elastic Defend 的所有主机上全局识别。如果您拥有白金版或企业版订阅,您还可以将阻止列表条目分配给特定的 Elastic Defend 集成策略,这只会阻止分配给该策略的主机上的进程。
- 在导航菜单中查找阻止列表,或使用全局搜索字段。
- 点击添加阻止列表条目。添加阻止列表浮层将出现。
-
在详细信息部分中填写以下字段
-
名称:输入一个名称来标识阻止列表中的应用程序。 -
描述:输入描述以提供有关阻止列表条目的更多信息(可选)。
-
-
在条件部分中,输入有关您要阻止的应用程序的以下信息
-
选择操作系统:从下拉菜单中选择相应操作系统。 -
字段:选择一个字段来标识被阻止的应用程序-
哈希值:应用程序可执行文件的 MD5、SHA-1 或 SHA-256 哈希值。 -
路径:应用程序可执行文件的完整文件路径。 -
签名:(仅限 Windows)应用程序数字签名的名称。要查找应用程序的签名者名称,请转到Kibana → 发现并查询应用程序可执行文件的进程名称(例如,McAfee 安全二进制文件的
process.name : "mctray.exe")。然后,搜索结果中的process.code_signature.subject_name字段,其中包含签名者的名称(例如McAfee, Inc.)。
-
-
运算符:对于哈希和路径条件,运算符为is one of,并且不能修改。对于签名条件,选择is one of输入多个值,或选择is输入一个值。 -
值:输入哈希值、文件路径或签名者名称。要输入多个值(例如已知恶意哈希值的列表),您可以分别输入每个值或粘贴逗号分隔的列表,然后按回车。哈希值必须有效才能添加到阻止列表。
-
-
在分配部分中选择一个选项,将阻止列表条目分配给特定集成策略
-
全局:将阻止列表条目分配给所有 Elastic Defend 集成策略。 -
按策略:将阻止列表条目分配给一个或多个特定的 Elastic Defend 集成策略。选择您希望阻止列表条目应用的每个策略。您也可以选择
按策略选项,而无需立即将策略分配给阻止列表条目。例如,您可以在将阻止列表配置付诸行动之前创建和查看阻止列表配置。
-
- 点击添加阻止列表。新条目将添加到阻止列表页面。
-
完成向阻止列表添加条目后,请确保为刚刚分配的 Elastic Defend 集成策略启用了阻止列表
- 转到策略页面,然后点击集成策略。
- 在策略设置选项卡上,确保恶意软件防护和阻止列表开关已打开。这两个设置默认启用。
查看和管理阻止列表
编辑阻止列表页面显示已添加到 Elastic Security 应用程序的所有阻止列表条目。要优化列表,请使用搜索栏按名称、描述或字段值进行搜索。
编辑阻止列表条目
编辑您可以分别修改每个阻止列表条目。使用白金版或企业版订阅,您还可以更改分配给阻止列表条目的策略。
要编辑阻止列表条目
- 点击要编辑的阻止列表条目的操作菜单(…),然后选择编辑阻止列表。
- 根据需要修改详细信息。
- 点击保存。
删除阻止列表条目
编辑您可以删除阻止列表条目,这会将其完全从所有 Elastic Defend 策略中删除。这允许最终用户访问先前被阻止的应用程序。
要删除阻止列表条目
- 点击要删除的阻止列表条目的操作菜单(…),然后选择删除阻止列表。
- 在打开的对话框中,验证您是否正在删除正确的阻止列表条目,然后点击删除。将显示确认消息。