隔离主机
编辑隔离主机
编辑主机隔离允许您将主机与网络隔离,阻止其与网络上的其他主机通信,直到您释放该主机。隔离主机对于响应恶意活动或防止潜在攻击非常有用,因为它可以阻止攻击横向移动到其他主机。
但是,隔离的主机仍然可以将数据发送到 Elasticsearch 和 Kibana。您还可以为隔离主机仍然允许通信的特定 IP 地址创建主机隔离例外,即使它们被阻止与网络上的其他主机通信。
您可以从检测警报的详细信息弹出窗口、端点页面或(使用企业版订阅)从端点响应控制台隔离主机。主机成功隔离后,警报详细信息弹出窗口或端点列表表中“代理状态”字段旁边会显示“已隔离”状态。
如果请求失败,请在重试之前验证 Elastic Agent 和您的端点是否都联机。
对主机执行的所有操作都将在主机的响应操作历史记录中进行跟踪,您可以从端点页面访问该历史记录。有关更多信息,请参阅查看主机隔离历史记录。
隔离主机
编辑从检测警报隔离主机
-
打开检测警报
- 从警报表或时间线:单击查看详细信息 (
)。 - 从包含已附加警报的案例:单击显示警报详细信息 (>)。
- 从警报表或时间线:单击查看详细信息 (
- 单击采取操作 → 隔离主机。
- 输入说明您为何隔离主机的注释(可选)。
- 单击确认。
从端点隔离主机
-
在导航菜单中查找端点或使用全局搜索字段,然后执行以下任一操作:
- 在端点列中选择相应的端点,然后在端点详细信息弹出窗口中单击采取操作 → 隔离主机。
- 单击相应端点上的操作菜单 (…),然后选择隔离主机。
- 输入说明您为何隔离主机的注释(可选)。
- 单击确认。
从响应控制台隔离主机
响应控制台是企业版订阅功能。
- 打开主机的响应控制台(在主机、端点或警报详细信息视图中选择响应按钮或操作菜单选项)。
-
在输入区域中输入
isolate命令和可选注释,例如isolate --comment "Isolate this host" - 按回车。
使用规则的端点响应操作自动隔离主机
主机成功隔离后,已隔离状态将添加到端点。活动终端用户会收到一条通知,告知其计算机已与网络隔离。
释放主机
编辑从检测警报释放主机
-
打开检测警报
- 从警报表或时间线:单击查看详细信息 ()。
- 从包含已附加警报的案例:单击显示警报详细信息 (>)。
- 从警报表或时间线:单击查看详细信息 (
- 在警报详细信息弹出窗口中,单击采取操作 → 释放主机。
- 输入说明您为何释放主机的注释(可选)。
- 单击确认。
从端点释放主机
-
在导航菜单中查找端点或使用全局搜索字段,然后执行以下任一操作:
- 在端点列中选择相应的端点,然后在端点详细信息弹出窗口中单击采取操作 → 释放主机。
- 单击相应端点上的操作菜单 (…),然后选择释放主机。
- 输入说明您为何释放主机的注释(可选)。
- 单击确认。
从响应控制台释放主机
响应控制台是企业版订阅功能。
- 打开主机的响应控制台(在主机、端点或警报详细信息视图中选择响应按钮或操作菜单选项)。
-
在输入区域中输入
release命令和可选注释,例如release --comment "Release this host" - 按回车。
主机成功释放后,已隔离状态将从端点中移除。活动终端用户会收到一条通知,告知其计算机已重新连接到网络。
查看主机隔离历史记录
编辑要确认主机是否已成功隔离或释放,请检查响应操作历史记录,该记录记录了对主机执行的响应操作。
转到端点页面,单击端点名称,然后单击响应操作历史记录选项卡。您可以过滤在此视图中显示的信息。有关更多详细信息,请参阅响应操作历史记录。
