主机隔离例外
编辑主机隔离例外
编辑您可以为特定 IP 地址配置主机隔离例外,即使被阻止与网络其余部分通信,已隔离的主机仍被允许与其通信。隔离的主机仍然可以向 Elasticsearch 和 Kibana 发送数据,因此您无需为其设置主机隔离例外。
主机隔离例外支持 IPv4 地址,并可选使用无类别域间路由 (CIDR) 表示法。
- 每个主机隔离例外 IP 地址都应该是高度信任和安全的位置,因为您允许它与已被隔离的主机通信,以防止潜在威胁蔓延。
- 如果您的主机依赖 VPN 进行网络通信,则还应为这些 VPN 服务器的 IP 地址设置主机隔离例外。
主机隔离是 白金版或企业版订阅 功能。默认情况下,主机隔离例外在运行 Elastic Defend 的所有主机上全局识别。您还可以将主机隔离例外分配给特定的 Elastic Defend 集成策略,仅影响分配给该策略的主机。
- 在导航菜单中查找主机隔离例外,或使用 全局搜索字段。
- 点击添加主机隔离例外。
-
在添加主机隔离例外弹出窗口中填写以下字段
-
为您的主机隔离例外命名:输入名称以标识主机隔离例外。 -
描述:输入描述以提供有关主机隔离例外的更多信息(可选)。 -
输入 IP 地址:输入要允许其与隔离主机通信的 IP 地址。这必须是 IPv4 地址,并可选使用 CIDR 表示法(例如,0.0.0.0或1.0.0.0/24)。
-
-
在分配部分中选择一个选项,将主机隔离例外分配给特定集成策略
-
全局:将主机隔离例外分配给 Elastic Defend 的所有集成策略。 -
按策略:将主机隔离例外分配给一个或多个特定的 Elastic Defend 集成策略。选择您希望应用主机隔离例外的每个策略。您也可以选择
按策略选项,而无需立即将策略分配给主机隔离例外。例如,您可以这样做,以便在将主机隔离例外配置付诸实施之前创建和查看您的配置。
-
- 点击添加主机隔离例外。新的例外将添加到主机隔离例外列表中。
查看和管理主机隔离例外
编辑主机隔离例外页面显示已为 Elastic Security 配置的所有主机隔离例外。要细化列表,请使用搜索栏按名称、描述或 IP 地址进行搜索。
编辑主机隔离例外
编辑您可以单独修改每个主机隔离例外并更改分配给主机隔离例外的策略。
要编辑主机隔离例外
- 单击要编辑的例外的操作菜单(…),然后选择编辑例外。
- 根据需要修改详细信息。
- 点击保存。新修改的例外将显示在列表顶部。
删除主机隔离例外
编辑您可以删除主机隔离例外,这会将其从所有 Elastic Defend 集成策略中完全删除。
要删除主机隔离例外
- 单击要删除的例外的操作菜单(…),然后选择删除例外。
- 在打开的对话框中,验证您是否正在删除正确的主机隔离例外,然后单击删除。将显示确认消息。