事件捕获和 Elastic Defend
编辑事件捕获和 Elastic Defend
编辑Elastic Defend 收集系统活动中的选择性数据,以便在平衡存储和性能开销的同时,检测和阻止尽可能多的威胁。为此,Elastic Defend 并非旨在提供所有系统事件的完整捕获。Elastic Defend 生成的事件数据可能会根据需要进行聚合、截断或去重,以优化威胁检测和预防。
您可以使用其他 Elastic 集成 和工具来补充 Elastic Defend 的保护功能,这些工具可提供更多可见性和历史数据。请参阅以下部分,以扩展特定系统事件的数据收集。
网络端口创建和删除
编辑Elastic Defend 会跟踪 TCP 连接。如果创建了端口但没有数据流,则不会生成事件。
要完整捕获网络端口的创建和删除,请考虑使用 自定义 Windows 事件日志 集成来捕获 Windows 事件 ID 5158。
网络出入连接
编辑Elastic Defend 跟踪 TCP 连接,其中不包括网络出入连接。
要进行完整的网络捕获,请考虑使用 网络数据包捕获 集成部署 Packetbeat。
用户行为
编辑Elastic Defend 只捕获其行为保护所需的用户信息安全事件。这并不包括所有用户事件,例如登录和注销,或者每次创建、删除或修改用户帐户。
要完整捕获所有或特定 Windows 安全事件,请考虑使用 自定义 Windows 事件日志 集成。
系统服务注册、删除和修改
编辑Elastic Defend 只捕获其行为保护引擎所需的系统服务安全事件。服务创建和修改也可以在注册表活动中检测到,Elastic Defend 对此有内部规则,例如 来自可疑内存的注册表或文件修改。
要完整捕获所有或特定 Windows 安全事件,请考虑使用 自定义 Windows 事件日志 集成。特别是,捕获诸如 Windows 事件 ID 4697 之类的事件。
内核驱动程序注册、删除和查询
编辑Elastic Defend 会扫描加载的每个驱动程序,但不会每次都生成事件。
驱动程序在系统中注册为系统服务。您可以使用 自定义 Windows 事件日志 集成使用 Windows 事件 ID 4697 来捕获此事件。
还可以考虑使用 Winlogbeat 的 Sysmon 模块 捕获 Windows 事件 ID 6。
系统配置文件创建、修改和删除
编辑Elastic Defend 跟踪系统上所有文件的创建、修改和删除。但是,如上所述,数据可能会被聚合、截断或去重,只提供威胁检测和预防所需的内容。