自动化响应操作
编辑自动化响应操作
编辑将 Elastic Defend 的 响应操作 添加到检测规则中,以便在事件符合规则条件时自动对受影响的主机执行操作。使用这些操作来支持您对检测到的威胁和可疑事件的响应。
将自动化响应操作添加到新的或现有的规则
-
执行以下操作之一
- 新规则:在规则创建的最后一步,转到 响应操作 部分并选择 Elastic Defend。
- 现有规则:编辑规则的设置,然后转到 操作 选项卡。在该选项卡中,在 响应操作 部分下选择 Elastic Defend。
-
在 响应操作 字段中选择一个选项
- 隔离:隔离主机,阻止与网络上其他主机的通信。
- 终止进程:终止主机上的进程。
- 挂起进程:临时挂起主机上的进程。
请注意,自动主机隔离可能会导致意想不到的后果,例如中断合法用户活动或阻止关键业务流程。
-
对于进程操作,请指定如何识别要终止或挂起的进程
- 打开切换开关,使用警报的 process.pid 值作为标识符。
- 要使用其他警报字段值来识别进程,请关闭切换开关并输入 自定义字段名称。
- 输入一条评论,描述您在主机上执行此操作的原因(可选)。
- 要完成添加响应操作,请单击 创建并启用规则(对于新规则)或 保存更改(对于现有规则)。