配置第三方响应操作
编辑配置第三方响应操作
编辑此功能处于技术预览阶段,可能在将来的版本中发生更改或被删除。Elastic 将致力于修复任何问题,但技术预览中的功能不受正式 GA 功能的支持 SLA 的约束。
您可以指示第三方端点保护系统对已注册主机执行响应操作,例如将可疑端点与您的网络隔离,而无需离开 Elastic Security UI。此页面说明启用这些第三方系统响应操作所需的配置步骤。
- CrowdStrike
- SentinelOne
查看 第三方响应操作 以了解每个系统支持哪些响应操作。
展开以下部分以获取您的端点安全系统信息
设置 CrowdStrike 响应操作
-
在 CrowdStrike 中启用 API 访问。在 CrowdStrike 中创建 API 客户端以允许访问系统。请参阅 CrowdStrike 的文档以获取说明。
-
为 API 客户端授予读取 CrowdStrike 数据和对已注册主机执行操作所需的最低权限。考虑为读取数据和执行操作创建单独的 API 客户端,以限制每个 API 客户端允许的权限。
- 要隔离和释放主机,API 客户端必须对警报具有
Read访问权限,对主机具有Read和Write访问权限。
- 要隔离和释放主机,API 客户端必须对警报具有
- 记下客户端 ID、客户端密钥和基本 URL;在您配置 Elastic Security 组件以访问 CrowdStrike 的后续步骤中,您将需要它们。
-
基本 URL 随您的 CrowdStrike 帐户类型而异
- US-1:
https://api.crowdstrike.com - US-2:
https://api.us-2.crowdstrike.com - EU-1:
https://api.eu-1.crowdstrike.com - US-GOV-1:
https://api.laggar.gcw.crowdstrike.com
- US-1:
-
-
安装 CrowdStrike 集成和 Elastic Agent。Elastic 的 CrowdStrike 集成 将日志收集并导入到 Elastic Security 中。
- 在导航菜单中查找 集成,或使用 全局搜索字段,搜索并选择 CrowdStrike,然后选择 添加 CrowdStrike。
- 使用 集成名称 和可选的 描述 配置集成。
-
选择 通过 API 收集 CrowdStrike 日志,并输入所需的 设置
- 客户端 ID:用于读取 CrowdStrike 数据的 API 客户端的客户端 ID。
- 客户端密钥:允许您访问 CrowdStrike 的客户端密钥。
- URL:CrowdStrike API 的基本 URL。
- 在 通过 API 收集 CrowdStrike 日志 下选择 Falcon 警报 和 主机 子选项。
- 向下滚动并在 新的代理策略名称 中输入代理策略的名称。如果其他代理策略已存在,您可以单击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅 Elastic Agent 策略。
- 单击 保存并继续。
- 选择 将 Elastic Agent 添加到您的主机 并继续执行 Elastic Agent 安装步骤 以在您的网络中的资源(例如服务器或虚拟机)上安装 Elastic Agent。Elastic Agent 将充当桥梁,收集来自 CrowdStrike 的数据并将其发送回 Elastic Security。
-
创建 CrowdStrike 连接器。Elastic 的 CrowdStrike 连接器 使 Elastic Security 能够对 CrowdStrike 注册的主机执行操作。
不要创建多个 CrowdStrike 连接器。
- 在导航菜单中查找 连接器,或使用 全局搜索字段,然后选择 创建连接器。
- 选择 CrowdStrike 连接器。
-
输入配置信息
- 连接器名称:用于识别连接器的名称。
- CrowdStrike API URL:CrowdStrike API 的基本 URL。
- CrowdStrike 客户端 ID:用于在 CrowdStrike 中执行操作的 API 客户端的客户端 ID。
- 客户端密钥:允许您访问 CrowdStrike 的客户端密钥。
- 单击 保存。
-
创建并启用检测规则以生成 Elastic Security 警报。(可选)创建 检测规则 以根据 CrowdStrike 事件和数据生成 Elastic Security 警报。CrowdStrike 集成文档 列出了可用于构建规则查询的可用导入日志和字段。
这使您可以查看 CrowdStrike,而无需离开 Elastic Security。您可以直接从规则创建的警报中执行支持的端点响应操作,方法是使用警报详细信息弹出窗口中的 采取操作 菜单。
设置 SentinelOne 响应操作
-
在 SentinelOne 中生成 API 访问令牌。您将在后续步骤中需要这些令牌,它们允许 Elastic Security 在 SentinelOne 中收集数据和执行操作。
在 SentinelOne 中创建两个 API 令牌,并为其提供将使用它们的 Elastic 组件所需的最低权限
- SentinelOne 集成:读取 SentinelOne 数据的权限。
- SentinelOne 连接器:读取 SentinelOne 数据和对已注册主机执行操作(例如,隔离和释放端点)的权限。
有关生成 API 令牌的详细信息,请参阅 SentinelOne 集成文档 或 SentinelOne 的文档。
-
安装 SentinelOne 集成和 Elastic Agent。Elastic 的 SentinelOne 集成 将日志收集并导入到 Elastic Security 中。
- 在导航菜单中查找 集成,或使用 全局搜索字段,搜索并选择 SentinelOne,然后选择 添加 SentinelOne。
- 使用 集成名称 和可选的 描述 配置集成。
-
确保已选择 通过 API 收集 SentinelOne 日志,并输入所需的 设置
- URL:SentinelOne 控制台 URL。
- API 令牌:您之前生成的 SentinelOne API 访问令牌,具有读取 SentinelOne 数据的权限。
- 向下滚动并在 新的代理策略名称 中输入代理策略的名称。如果其他代理策略已存在,您可以单击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅 Elastic Agent 策略。
- 单击 保存并继续。
- 选择 将 Elastic Agent 添加到您的主机 并继续执行 Elastic Agent 安装步骤 以在您的网络中的资源(例如服务器或虚拟机)上安装 Elastic Agent。Elastic Agent 将充当桥梁,收集来自 SentinelOne 的数据并将其发送到 Elastic Security。
-
创建 SentinelOne 连接器。Elastic 的 SentinelOne 连接器 使 Elastic Security 能够对 SentinelOne 注册的主机执行操作。
不要创建多个 SentinelOne 连接器。
- 在导航菜单中查找 连接器,或使用 全局搜索字段,然后选择 创建连接器。
- 选择 SentinelOne 连接器。
-
输入配置信息
- 连接器名称:用于识别连接器的名称。
- SentinelOne 租户 URL:SentinelOne 租户 URL。
- API 令牌:您之前生成的 SentinelOne API 访问令牌,具有读取 SentinelOne 数据和对已注册主机执行操作的权限。
- 单击 保存。
-
创建并启用检测规则以生成 Elastic Security 警报。创建 检测规则 以根据 SentinelOne 事件和数据生成 Elastic Security 警报。
这使您可以查看 SentinelOne,而无需离开 Elastic Security。您可以直接从规则创建的警报中执行支持的端点响应操作,方法是使用警报详细信息弹出窗口中的 采取操作 菜单。
创建规则时,您可以定位包含 SentinelOne 代理 ID 字段的任何事件。使用以下一个或多个索引模式
索引模式 SentinelOne 代理 ID 字段 logs-sentinel_one.alert*sentinel_one.alert.agent.idlogs-sentinel_one.threat*sentinel_one.threat.agent.idlogs-sentinel_one.activity*sentinel_one.activity.agent.idlogs-sentinel_one.agent*sentinel_one.agent.agent.id不要包含任何其他索引模式。