自动化响应操作

编辑

将 Elastic Defend 的 响应操作 添加到检测规则中,以便在事件符合规则条件时自动对受影响的主机执行操作。使用这些操作来支持您对检测到的威胁和可疑事件的响应。

将自动化响应操作添加到新的或现有的规则

  1. 执行以下操作之一

    • 新规则:在规则创建的最后一步,转到 响应操作 部分并选择 Elastic Defend
    • 现有规则:编辑规则的设置,然后转到 操作 选项卡。在该选项卡中,在 响应操作 部分下选择 Elastic Defend
  2. 响应操作 字段中选择一个选项

    • 隔离隔离主机,阻止与网络上其他主机的通信。
    • 终止进程:终止主机上的进程。
    • 挂起进程:临时挂起主机上的进程。

    请注意,自动主机隔离可能会导致意想不到的后果,例如中断合法用户活动或阻止关键业务流程。

  3. 对于进程操作,请指定如何识别要终止或挂起的进程

    • 打开切换开关,使用警报的 process.pid 值作为标识符。
    • 要使用其他警报字段值来识别进程,请关闭切换开关并输入 自定义字段名称
  4. 输入一条评论,描述您在主机上执行此操作的原因(可选)。
  5. 要完成添加响应操作,请单击 创建并启用规则(对于新规则)或 保存更改(对于现有规则)。