响应操作历史

编辑

Elastic Security 会记录在端点上执行的响应操作,例如隔离主机或终止进程。日志显示每个命令执行的时间、执行操作的主机、请求操作的 Kibana 用户、添加到操作的任何注释以及操作的当前状态。

要访问所有端点的响应操作历史记录,请在导航菜单中查找响应操作历史,或使用全局搜索字段。您还可以从以下区域访问单个端点的响应操作历史记录

  • 端点页面:单击端点名称以打开详细信息弹出窗口,然后单击响应操作历史选项卡。
  • 响应控制台页面:单击响应操作历史按钮。

所有这些上下文都包含相同的信息和功能。下图显示了所有端点的响应操作历史页面

Response actions history page UI

要筛选和扩展响应操作历史记录中的信息

  • 在搜索字段中输入用户名或用逗号分隔的用户名列表,以显示这些用户请求的操作。
  • 使用各种下拉菜单筛选显示的操作

    • 主机:显示在特定端点上执行的操作。(仅在所有端点的响应操作历史页面上可用。)
    • 操作:显示特定的操作类型。
    • 状态:显示具有特定状态的操作。
    • 类型:根据端点保护代理类型(Elastic Defend 或第三方代理)以及操作的触发方式(用户手动触发或检测规则自动触发)显示操作。
  • 使用日期和时间选择器显示特定时间范围内的操作。
  • 单击右侧的展开箭头以显示有关操作的更多详细信息。