主机隔离例外
编辑主机隔离例外
编辑您可以为特定的 IP 地址配置主机隔离例外,即使 被隔离的主机 与网络的其余部分断开连接,仍然允许它们与这些 IP 地址通信。隔离的主机仍然可以将数据发送到 Elasticsearch 和 Kibana,因此您无需为它们设置主机隔离例外。
主机隔离例外支持 IPv4 地址,并可选地使用无类别域间路由 (CIDR) 表示法。
- 每个主机隔离例外 IP 地址都应是高度信任和安全的位置,因为您允许它与已被隔离以防止潜在威胁蔓延的主机进行通信。
- 如果您的主机依赖 VPN 进行网络通信,您还应该为这些 VPN 服务器的 IP 地址设置主机隔离例外。
主机隔离是 Platinum 或 Enterprise 订阅功能。默认情况下,主机隔离例外会在运行 Elastic Defend 的所有主机中全局识别。您还可以将主机隔离例外分配给特定的 Elastic Defend 集成策略,使其仅影响分配给该策略的主机。
- 在导航菜单中查找 主机隔离例外,或者使用 全局搜索字段。
- 单击 添加主机隔离例外。
-
在 添加主机隔离例外 弹出窗口中填写以下字段
-
命名主机隔离例外:输入一个名称以标识主机隔离例外。 -
描述:输入描述以提供有关主机隔离例外的更多信息(可选)。 -
输入 IP 地址:输入您要允许与隔离主机通信的 IP 地址。这必须是 IPv4 地址,并可选地使用 CIDR 表示法(例如,0.0.0.0或1.0.0.0/24)。
-
-
在 分配 部分中选择一个选项,以将主机隔离例外分配给特定的集成策略
-
全局:将主机隔离例外分配给所有 Elastic Defend 的集成策略。 -
按策略:将主机隔离例外分配给一个或多个特定的 Elastic Defend 集成策略。选择您要应用主机隔离例外的每个策略。您也可以选择
按策略选项,而不立即将策略分配给主机隔离例外。例如,您可以这样做来创建和审查您的主机隔离例外配置,然后再通过策略将其付诸实施。
-
- 单击 添加主机隔离例外。新的例外将添加到 主机隔离例外 列表中。
查看和管理主机隔离例外
编辑主机隔离例外 页面显示已为 Elastic Security 配置的所有主机隔离例外。要细化列表,请使用搜索栏按名称、描述或 IP 地址进行搜索。
编辑主机隔离例外
编辑您可以单独修改每个主机隔离例外,并更改主机隔离例外所分配到的策略。
要编辑主机隔离例外
- 单击要编辑的例外的操作菜单 ( … ),然后选择 编辑例外。
- 根据需要修改详细信息。
- 单击 保存。新修改的例外将显示在列表的顶部。
删除主机隔离例外
编辑您可以删除主机隔离例外,这将从所有 Elastic Defend 集成策略中完全删除该例外。
要删除主机隔离例外
- 单击要删除的例外的操作菜单 ( … ),然后选择 删除例外。
- 在打开的对话框中,验证您正在删除的主机隔离例外是否正确,然后单击 删除。将显示确认消息。