« 响应操作历史 配置第三方响应操作 »
Elastic 文档 Elastic 安全解决方案 [8.16] 端点响应操作

第三方响应操作

编辑

第三方响应操作

编辑

此功能处于技术预览阶段,可能在将来的版本中发生更改或被移除。Elastic 将致力于修复任何问题,但技术预览中的功能不受正式 GA 功能的支持 SLA 的约束。

您可以对注册到其他第三方端点保护系统(例如 CrowdStrike 或 SentinelOne)中的主机执行响应操作。例如,您可以指示其他系统将可疑端点与您的网络隔离,而无需离开 Elastic Security UI。

要求

  • 第三方响应操作需要 企业订阅
  • 每种响应操作类型都有其自己的用户角色权限要求。在 端点响应操作 中查找操作的角色要求。
  • 需要额外的 配置 来将 Elastic Security 与第三方系统连接。

CrowdStrike 响应操作

编辑

这些响应操作支持 CrowdStrike 注册的主机

  • 隔离和释放主机 使用以下任何方法

    • 从检测警报
    • 从响应控制台

    有关更多详细信息,请参阅有关 隔离释放 主机的说明。

SentinelOne 响应操作

编辑

这些响应操作支持 SentinelOne 注册的主机

  • 隔离和释放主机 使用以下任何方法

    • 从检测警报
    • 从响应控制台

    有关更多详细信息,请参阅有关 隔离释放 主机的说明。

  • 从主机检索文件 使用 get-file 响应操作

    对于 SentinelOne 注册的主机,您必须使用密码 Elastic@123 打开检索到的文件。

  • 获取主机上运行的进程列表 使用 processes 响应操作。对于 SentinelOne 注册的主机,此命令会返回一个链接,用于下载文件中包含的进程列表。

  • 终止主机上运行的进程 使用 kill-process 响应操作

    对于 SentinelOne 注册的主机,您必须使用参数 --processName 来识别要终止的进程。--pid--entityId 不受支持。

    示例:kill-process --processName cat --comment "Terminate suspicious process"

  • 查看过去响应操作活动响应操作历史 日志中。
« 响应操作历史 配置第三方响应操作 »