Elastic Defend 功能权限
编辑Elastic Defend 功能权限
编辑您可以创建用户角色并定义权限来管理 Elastic Security 中的功能访问。这允许您在管理 Elastic Defend 功能的访问权限时,遵循最小权限原则。
要配置角色和权限,请在导航菜单中查找角色,或使用全局搜索字段。有关使用此 UI 的更多详细信息,请参阅Kibana 权限。
Elastic Defend 的功能权限必须分配给所有空间。您不能将其分配给单个空间。
要授予访问权限,请在将角色分配到空间配置 UI 中,为安全功能选择全部,然后启用自定义子功能权限开关。
为整体安全功能选择全部并不会启用任何子功能。您还必须启用自定义子功能权限开关,然后分别启用每个子功能权限。
对于以下每个子功能权限,请选择要允许的访问类型
- 全部:用户可以完全访问该功能,包括执行所有可用操作和管理配置。
- 读取:用户可以查看该功能,但不能执行任何操作或管理配置(某些功能没有此权限)。
- 无:用户无法访问或查看该功能。
端点列表 |
访问端点页面,该页面列出了所有运行 Elastic Defend 的主机以及关联的集成详细信息。 |
受信任的应用程序 |
访问受信任的应用程序页面以解决与其他软件(例如防病毒软件或端点安全应用程序)的冲突。 |
主机隔离例外 |
访问主机隔离例外页面以添加隔离主机仍可以与其通信的特定 IP 地址。 |
黑名单 |
访问黑名单页面以阻止指定应用程序在主机上运行,从而扩展 Elastic Defend 认为具有恶意性质的进程列表。 |
事件过滤器 |
访问事件过滤器页面以过滤掉您不希望存储在 Elasticsearch 中的端点事件。 |
Elastic Defend 策略管理 |
访问策略页面和 Elastic Defend 集成策略以配置保护、事件收集和高级策略功能。 |
响应操作历史记录 |
访问端点的响应操作历史记录。 |
主机隔离 |
允许用户隔离和释放主机。 |
进程操作 |
执行与主机进程相关的响应操作,包括 |
文件操作 |
在响应控制台中执行与文件相关的响应操作。 |
执行操作 |
在响应控制台中执行与 shell 命令和脚本相关的响应操作。 这些命令使用运行 Elastic Defend 集成的同一用户帐户在主机上运行,该帐户通常对系统具有完全控制权。仅向需要此访问级别的 Elastic Security 用户授予此功能权限。 |
扫描操作 |
在响应控制台中执行文件夹扫描响应操作。 |
升级注意事项
编辑从 Elastic Security 8.6 或更早版本升级后,对于任何新的端点管理功能权限,现有用户角色默认将被分配无,您需要显式分配它们。但是,许多以前需要内置superuser角色的功能,在升级后,以前拥有此角色的用户仍然拥有它。
您可能希望将广泛的许可superuser角色替换为更专注于功能的权限,以确保用户只能访问他们需要的特定功能。有关分配角色和权限的更多详细信息,请参阅Kibana 角色管理。