« 策略 事件过滤器 »
Elastic 文档 Elastic 安全解决方案 [8.16] 管理 Elastic Defend

受信任的应用程序

编辑

受信任的应用程序

编辑

如果您同时使用 Elastic Defend 和其他反病毒 (AV) 软件,则可能需要配置其他系统以信任 Elastic Endpoint。有关更多信息,请参阅在第三方反病毒应用程序中将 Elastic Endpoint 添加到白名单

您可以添加应受信任的 Windows、macOS 和 Linux 应用程序,例如其他反病毒或端点安全应用程序。受信任的应用程序旨在帮助减轻性能问题以及与安装在主机上的其他端点软件的不兼容性。受信任的应用程序仅适用于运行 Elastic Defend 集成的主机。

要求

您必须具有受信任的应用程序 权限才能访问此功能。

受信任的应用程序会为 Elastic Defend 创建盲点,因为不再监控这些应用程序是否存在威胁。攻击者利用这些盲点的一种途径是 DLL(动态链接库)旁加载,他们利用受信任供应商(例如反病毒软件)签名的进程来执行其恶意 DLL。此类活动似乎源自受信任应用程序的进程。

在某些情况下,受信任的应用程序仍然可能会生成警报,例如,如果应用程序的进程事件指示存在恶意行为。为了减少误报警报,请添加端点警报异常,这将阻止 Elastic Defend 生成警报。要将受信任的应用程序与其他端点工件进行比较,请参阅优化 Elastic Defend

此外,受信任的应用程序仍会为 Elastic Stack 的可视化和其他内部用途生成进程事件。要防止将进程事件写入 Elasticsearch,请使用事件过滤器过滤掉您不希望存储在 Elasticsearch 中的特定事件,但请注意,依赖这些进程事件的功能可能无法正常运行。

默认情况下,受信任的应用程序在所有运行 Elastic Defend 的主机上都是全局识别的。如果您拥有白金版或企业版订阅,您还可以将受信任的应用程序分配给特定的 Elastic Defend 集成策略,使该应用程序仅受分配给该策略的主机信任。

添加受信任的应用程序

  1. 在导航菜单中查找受信任的应用程序,或使用全局搜索字段
  2. 点击添加受信任的应用程序

  3. 添加受信任的应用程序弹出窗口中填写以下字段

    • 为您的受信任应用程序命名:输入受信任应用程序的名称。
    • 说明(可选):输入受信任应用程序的说明。
    • 选择操作系统:从下拉菜单中选择相应操作系统。

    • 字段:选择一个字段来标识受信任的应用程序

      • 哈希值:应用程序可执行文件的 MD5、SHA-1 或 SHA-256 哈希值。
      • 路径:应用程序可执行文件的完整文件路径。

      • 签名:(仅限 Windows)应用程序数字签名的名称。

        要查找应用程序的签名者名称,请转到KibanaDiscover 并查询应用程序可执行文件的进程名称(例如,McAfee 安全二进制文件的process.name : "mctray.exe")。然后,搜索结果中的process.code_signature.subject_name字段,该字段包含签名者的名称(例如,McAfee, Inc.)。

    • 运算符:选择一个运算符来定义条件

      • :必须完全等于;不支持通配符。此运算符是哈希值签名字段类型所必需的。
      • 匹配:可以在中包含通配符,例如C:\path\*\app.exe。此选项仅适用于路径字段类型。可用的通配符是?(匹配一个字符)和*(匹配零个或多个字符)。

    • :输入哈希值、文件路径或签名者名称。要添加其他值,请单击AND

      每个受信任的应用程序只能添加一个字段类型值。例如,如果您尝试添加两个路径值,则会收到错误消息。此外,应用程序的哈希值必须有效才能将其添加为受信任的应用程序。此外,为了最大限度地减少 Elastic Security 应用程序中的可见性差距,请在条目中尽可能具体。例如,将签名信息与已知的路径结合起来。

  4. 分配部分中选择一个选项,以将受信任的应用程序分配给特定集成策略

    • 全局:将受信任的应用程序分配给 Elastic Defend 的所有集成策略。

    • 按策略(仅限白金版或企业版订阅):将受信任的应用程序分配给一个或多个特定的 Elastic Defend 集成策略。选择您希望该应用程序受其信任的每个策略。

      您也可以选择按策略选项,而无需立即将策略分配给受信任的应用程序。例如,您可以在将受信任的应用程序配置付诸实施之前创建和查看其配置。

  5. 点击添加受信任的应用程序。该应用程序将添加到受信任的应用程序列表中。

查看和管理受信任的应用程序

编辑

受信任的应用程序页面显示已添加到 Elastic Security 应用程序的所有受信任的应用程序。要优化列表,请使用搜索栏按名称、说明或字段值进行搜索。

trusted apps list

编辑受信任的应用程序

编辑

您可以单独修改每个受信任的应用程序。使用白金版或企业版订阅,您还可以更改分配给受信任应用程序的策略。

编辑受信任的应用程序

  1. 单击要编辑的受信任应用程序的操作菜单(…​),然后选择编辑受信任的应用程序
  2. 根据需要修改详细信息。
  3. 点击保存

删除受信任的应用程序

编辑

您可以删除受信任的应用程序,这会将其从所有 Elastic Defend 集成策略中完全删除。

删除受信任的应用程序

  1. 单击要删除的受信任应用程序的操作菜单(…​),然后选择删除受信任的应用程序
  2. 在打开的对话框中,验证您是否要删除正确的应用程序,然后单击删除。将显示确认消息。
« 策略 事件过滤器 »