配置 Elastic Defend 集成策略
编辑配置 Elastic Defend 集成策略
编辑安装具有 Elastic Defend 集成的 Elastic Agent 后,若干保护功能(包括针对恶意软件、勒索软件、内存威胁和恶意行为的防护)会在受保护的主机上自动启用(某些功能需要 Platinum 或 Enterprise 许可证)。如有需要,您可以更新集成策略以配置保护设置、事件收集、防病毒设置、受信任的应用程序、事件过滤器、主机隔离例外和被阻止的应用程序,以满足您组织的安全需求。
您还可以创建多个 Elastic Defend 集成策略以维护唯一的配置配置文件。要创建其他 Elastic Defend 集成策略,请在导航菜单中查找集成,或使用全局搜索字段,然后按照添加 Elastic Defend 集成中的步骤操作。
除了通过 Elastic Security UI 配置 Elastic Defend 策略外,您还可以通过 API创建和自定义 Elastic Defend 策略。
配置集成策略
- 在导航菜单中查找策略,或使用全局搜索字段。
- 选择要配置的集成策略。集成策略配置页面将出现。
-
在策略设置选项卡上,根据需要查看和配置以下设置
-
单击受信任的应用程序、事件过滤器、主机隔离例外和阻止列表选项卡以查看分配给此集成策略的端点策略构件(有关更多信息,请参阅受信任的应用程序、事件过滤器、主机隔离例外和阻止列表)。在这些选项卡上,您可以
- 展开并查看构件 — 单击其名称旁边的箭头。
- 查看构件的详细信息 — 单击操作菜单(…),然后选择查看完整详细信息。
- 取消分配构件(Platinum 或 Enterprise 订阅)— 单击操作菜单(…),然后选择从策略中移除。这不会删除构件;只会将其从当前策略中取消分配。
- 分配现有构件(Platinum 或 Enterprise 订阅)— 单击将 *x* 分配到策略,然后从浮出层中选择一个项目。此视图列出了尚未分配到当前策略的任何现有构件。
配置集成策略时,无法创建新的端点策略构件。要创建新的构件,请转到 Elastic Security 应用程序中的其主页面(例如,要创建新的受信任应用程序,请在导航菜单中查找受信任的应用程序,或使用全局搜索字段)。
- 单击保护更新选项卡以配置 Elastic Defend 如何从 Elastic 接收包含最新威胁检测、恶意软件模型和其他保护构件的更新。有关更多信息,请参阅配置保护构件的更新。
恶意软件防护
编辑Elastic Defend 恶意软件防护使用机器学习模型检测并阻止恶意攻击,该模型查找静态属性以确定文件是恶意文件还是良性文件。
默认情况下,恶意软件防护在 Windows、macOS 和 Linux 主机上启用。要禁用恶意软件防护,请关闭恶意软件防护切换。
恶意软件防护级别为
- 检测:检测主机上的恶意软件并生成警报。代理程序不会阻止恶意软件。您必须注意并分析生成的任何恶意软件警报。
- 阻止(默认):检测主机上的恶意软件,阻止其执行并生成警报。
恶意软件防护提供以下其他选项:
- 阻止列表:为与该 Elastic Defend 策略关联的所有主机启用或禁用阻止列表。阻止列表允许您阻止指定的应用程序在主机上运行,从而扩展 Elastic Defend 认为具有恶意性的进程列表。
- 修改文件时扫描:默认情况下,Elastic Defend 每次修改文件时都会扫描文件,这在频繁修改文件的服务器和开发人员机器等主机上可能会占用大量资源。关闭此选项仅在执行文件时扫描文件。Elastic Defend 将在恶意软件尝试运行时继续识别恶意软件,从而提供强大的保护级别,同时提高端点性能。
选择通知用户以在检测或阻止活动时向主机操作系统发送推送通知。阻止选项默认情况下启用通知。
Platinum 和 Enterprise 客户可以使用Elastic Security {action} {filename}语法自定义这些通知。
管理隔离文件
编辑为恶意软件防护启用阻止后,Elastic Defend 将隔离找到的任何恶意文件(这包括阻止列表中定义的文件)。具体来说,Elastic Defend 将从其当前位置移除文件,使用加密密钥ELASTIC对其进行加密,将其移动到不同的文件夹,并将其重命名为 GUID 字符串,例如318e70c2-af9b-4c3a-939d-11410b9a112c。
隔离文件夹位置因操作系统而异
- macOS:
/System/Volumes/Data/.equarantine - Linux:被隔离文件的挂载点的根目录下的
.equarantine - Windows - Elastic Defend 8.5 及更高版本:
[DriveLetter:]\.equarantine,除非文件来自C:驱动器。这些文件将移动到C:\Program Files\Elastic\Endpoint\state\.equarantine。 - Windows - Elastic Defend 8.4 及更低版本:任何驱动器的
[DriveLetter:]\.equarantine
要将隔离的文件恢复到其原始状态和位置,请向规则添加例外,该规则将文件识别为恶意文件。如果例外阻止规则将文件识别为恶意文件,则 Elastic Defend 会恢复该文件。
您可以使用响应控制台中的get-file响应操作命令访问隔离文件。为此,请从警报的隔离文件路径字段(file.Ext.quarantine_path)复制路径,该字段显示在警报详细信息浮出层的突出显示的字段下。然后将值粘贴到--path参数中。此操作不会将文件恢复到其原始位置,因此您需要手动执行此操作。
响应操作和响应控制台 UI 是企业订阅功能。
勒索软件防护
编辑行为型勒索软件防护通过分析来自低级别系统进程的数据来检测和阻止 Windows 系统上的勒索软件攻击。它对各种广泛传播的勒索软件家族(包括针对系统主引导记录的勒索软件家族)有效。
勒索软件防护是一项付费功能,如果您拥有Platinum 或 Enterprise 许可证,则默认情况下启用。如果您从 Basic 或 Gold 升级到 Platinum 或 Enterprise 许可证,则勒索软件防护将默认情况下禁用。
勒索软件防护级别为
- 检测:检测主机上的勒索软件并生成警报。Elastic Defend不会阻止勒索软件。您必须注意并分析生成的任何勒索软件警报。
- 阻止(默认):检测主机上的勒索软件,阻止其执行并生成警报。
启用勒索软件防护后,放置在主机目标位置的诱饵文件将为潜在的勒索软件活动提供早期预警系统。修改诱饵文件后,Elastic Defend 会立即生成勒索软件警报。如果激活了阻止勒索软件,Elastic Defend 将终止修改文件的进程。
选择通知用户以在检测或阻止活动时向主机操作系统发送推送通知。阻止选项默认情况下启用通知。
Platinum 和 Enterprise 客户可以使用Elastic Security {action} {filename}语法自定义这些通知。
内存威胁防护
编辑内存威胁防护检测并阻止内存中的威胁,例如 shellcode 注入,这些威胁用于逃避传统的基于文件的检测技术。
内存威胁防护是一项付费功能,如果您拥有Platinum 或 Enterprise 许可证,则默认情况下启用。如果您从 Basic 或 Gold 升级到 Platinum 或 Enterprise 许可证,则内存威胁防护将默认情况下禁用。
内存威胁防护级别为
- 检测:检测主机上的内存威胁活动并生成警报。Elastic Defend不会阻止内存活动。您必须注意并分析生成的任何警报。
- 阻止(默认):检测主机上的内存威胁活动,强制进程或线程停止并生成警报。
选择通知用户以在检测或阻止活动时向主机操作系统发送推送通知。阻止选项默认情况下启用通知。
白金版和企业版客户可以使用 Elastic Security {action} {rule} 语法自定义这些通知。
恶意行为防护
编辑恶意行为防护通过监控系统进程的行为以查找可疑活动来检测和阻止威胁。与传统的基于文件的检测技术相比,行为信号更难以被攻击者规避。
恶意行为防护是一项付费功能,如果您拥有白金版或企业版许可证,则默认启用。如果您从基础版或黄金版升级到白金版或企业版许可证,则恶意行为防护将默认禁用。
恶意行为防护级别:
- 检测:检测主机上的恶意行为并生成警报。Elastic Defend 不会阻止恶意行为。您必须注意并分析生成的任何警报。
- 阻止(默认):检测主机上的恶意行为,强制停止进程并生成警报。
选择是否要使用信誉服务以获得额外的保护。Elastic 的信誉服务利用我们广泛的威胁情报知识来做出高度可靠的实时预防决策。例如,信誉服务可以检测具有低信誉度或恶意信誉度的二进制文件的可疑下载。端点直接与信誉服务通信,地址为https://cloud.security.elastic.co。
信誉服务需要激活的白金版或企业版订阅,并且仅在云部署中可用。
选择通知用户以在检测或阻止活动时向主机操作系统发送推送通知。阻止选项默认情况下启用通知。
白金版和企业版客户可以使用 Elastic Security {action} {rule} 语法自定义这些通知。
攻击面缩减
编辑本节帮助您减少攻击者可以在 Windows 端点上瞄准的漏洞。
- 凭据强化:防止攻击者窃取存储在 Windows 系统进程内存中的凭据。启用切换以移除任何对与本地安全机构子系统服务 (LSASS) 的标准交互不需要的过于宽松的访问权限。此功能强制执行最小权限原则,而不会干扰与 LSASS 相关的良性系统活动。
事件收集
编辑在设置部分,选择要在每个操作系统上收集的事件类别。大多数类别默认情况下都会收集,如下所示。
注册 Elastic Security 为反病毒软件(可选)
编辑在 Windows 7 或更高版本上使用 Elastic Defend 7.10 或更高版本,您可以通过启用注册为反病毒软件将 Elastic Security 注册为主机的反病毒软件。
不支持 Windows Server 版本。反病毒注册需要 Windows 安全中心,而 Windows Server 操作系统中不包含此中心。
默认情况下,选择与恶意软件防护级别同步以自动设置反病毒注册以匹配您配置的 Elastic Defend 的恶意软件防护方式。如果恶意软件防护已启用 *且* 设置为阻止,则反病毒注册也将启用;在任何其他情况下,反病毒注册都将禁用。
如果您不想同步反病毒注册,您可以使用启用或禁用手动设置。
高级策略设置(可选)
编辑具有独特配置和安全要求的用户可以选择显示高级设置来配置策略以支持高级用例。将鼠标悬停在每个设置上以查看其说明。
对于大多数用户,不建议使用高级设置。
本节包括:
保存常规策略设置
编辑在策略设置选项卡上配置常规设置后,单击保存。将显示确认消息。