« 启用 macOS Ventura 及更高版本的访问权限 防止卸载 Elastic Agent »
Elastic 文档 Elastic 安全解决方案 [8.16] 使用 Elastic Defend 配置端点保护 安装 Elastic Defend 集成

使用移动设备管理 (MDM) 在 macOS 上部署 Elastic Defend

编辑

使用移动设备管理 (MDM) 在 macOS 上部署 Elastic Defend

编辑

要静默安装和部署 Elastic Defend,您需要为 Elastic Endpoint(执行 Elastic Defend 威胁监控和防护的已安装组件)配置移动设备管理 (MDM) 配置文件。这允许您预批准 Elastic Endpoint 系统扩展并向所有必要组件授予“完全磁盘访问权限”。

此页面说明如何使用 Jamf 静默部署 Elastic Defend。

配置 Jamf MDM 配置文件

编辑

在 Jamf 中,为 Elastic Endpoint 创建一个配置文件。请按照以下步骤配置配置文件:

  1. 批准系统扩展。
  2. 批准网络内容过滤。
  3. 启用通知。
  4. 启用完全磁盘访问权限。
批准系统扩展
编辑
  1. 选择系统扩展选项来配置 Elastic Endpoint 配置文件的系统扩展策略。
  2. 确保选中允许用户批准系统扩展

  3. 允许的团队 ID 和系统扩展部分,添加 Elastic Endpoint 系统扩展。

    1. (可选) 为 Elastic Endpoint 系统扩展输入显示名称
    2. 系统扩展类型下拉菜单中,选择允许的系统扩展
    3. 团队标识符下,输入2BT3HPN62Z
    4. 允许的系统扩展下,输入co.elastic.systemextension
  4. 保存配置。
system extension jamf
批准网络内容过滤
编辑
  1. 选择内容过滤器选项来配置 Elastic Endpoint 配置文件的网络扩展策略。
  2. 过滤器名称下,输入ElasticEndpoint
  3. 标识符下,输入co.elastic.endpoint

  4. 套接字过滤器部分,填写以下字段:

    1. 套接字过滤器捆绑包标识符:输入co.elastic.systemextension

    2. 套接字过滤器指定需求:输入以下内容:(此处应补充原文缺失的内容)

      identifier "co.elastic.systemextension" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"

  5. 网络过滤器部分,填写以下字段:

    1. 网络过滤器捆绑包标识符:输入co.elastic.systemextension

    2. 网络过滤器指定需求:输入以下内容:(此处应补充原文缺失的内容)

      identifier "co.elastic.systemextension" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"
  6. 保存配置。
content filtering jamf
启用通知
编辑
  1. 选择通知选项来配置 Elastic Endpoint 配置文件的通知中心策略。
  2. 应用名称下,输入Elastic Security.app
  3. 捆绑包 ID下,输入co.elastic.alert

  4. 设置部分,包含以下设置的选项:

    1. 严重警报:启用
    2. 通知:启用
    3. 横幅警报类型:持久
    4. 锁定屏幕上的通知:显示
    5. 通知中心中的通知:显示
    6. 应用图标徽章:显示
    7. 播放通知声音:启用
  5. 保存配置。
notifications jamf
启用完全磁盘访问权限
编辑
  1. 选择隐私偏好设置策略控制选项来配置 Elastic Endpoint 配置文件的完全磁盘访问策略。

  2. 添加一个具有以下详细信息的新条目:

    1. 标识符下,输入co.elastic.systemextension
    2. 标识符类型下拉菜单中,选择捆绑包 ID

    3. 代码需求下,输入以下内容:(此处应补充原文缺失的内容)

      identifier "co.elastic.systemextension" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"
    4. 确保选中验证静态代码需求

  3. 添加第二个具有以下详细信息的条目:(此处应补充原文缺失的内容)

    1. 标识符下,输入co.elastic.endpoint
    2. 标识符类型下拉菜单中,选择捆绑包 ID

    3. 代码需求下,输入以下内容:(此处应补充原文缺失的内容)

      identifier "co.elastic.endpoint" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"
    4. 确保选中验证静态代码需求

  4. 添加第三个具有以下详细信息的条目:(此处应补充原文缺失的内容)

    1. 标识符下,输入co.elastic.elastic-agent
    2. 标识符类型下拉菜单中,选择捆绑包 ID

    3. 代码需求下,输入以下内容:(此处应补充原文缺失的内容)

      identifier "co.elastic.elastic-agent" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = "2BT3HPN62Z"
    4. 确保选中验证静态代码需求
  5. 保存配置。
fda jamf

完成这些步骤后,生成移动配置文件并将其安装到 macOS 机器上。安装配置文件后,即可无需用户交互即可部署 Elastic Defend。

« 启用 macOS Ventura 及更高版本的访问权限 防止卸载 Elastic Agent »