隔离主机
编辑隔离主机
编辑主机隔离允许您将主机与网络隔离,阻止其与网络上其他主机的通信,直到您释放该主机。隔离主机对于响应恶意活动或防止潜在攻击很有用,因为它阻止了在其他主机之间的横向移动。
但是,隔离的主机仍然可以向 Elasticsearch 和 Kibana 发送数据。您还可以为特定的 IP 地址创建主机隔离例外,即使这些主机与网络的其余部分隔离,仍然允许与这些 IP 地址通信。
您可以从检测警报的详细信息弹出窗口、"端点"页面或(通过 Enterprise 订阅)从端点响应控制台隔离主机。一旦主机成功隔离,代理状态字段旁边将显示一个 已隔离 状态,您可以在警报详细信息弹出窗口或“端点”列表表中查看该状态。
如果请求失败,请在重试之前验证 Elastic Agent 和您的端点是否都在线。
在主机上执行的所有操作都会在主机的响应操作历史记录中跟踪,您可以从“端点”页面访问该历史记录。有关详细信息,请参阅查看主机隔离历史记录。
隔离主机
编辑从检测警报隔离主机
-
打开检测警报
- 从“警报”表或“时间线”中:单击查看详细信息(
)。 - 从带有附加警报的案例中:单击 显示警报详细信息(>)。
- 从“警报”表或“时间线”中:单击查看详细信息(
- 单击执行操作 → 隔离主机。
- 输入描述您为何隔离主机的评论(可选)。
- 单击 确认。
从端点隔离主机
-
在导航菜单中查找端点,或使用全局搜索字段,然后执行以下操作之一
- 在端点列中选择适当的端点,然后在端点详细信息弹出窗口中单击 执行操作 → 隔离主机。
- 单击适当端点上的操作菜单(…),然后选择 隔离主机。
- 输入描述您为何隔离主机的评论(可选)。
- 单击 确认。
从响应控制台隔离主机
响应控制台是Enterprise 订阅功能。
- 打开主机的响应控制台(在主机、端点或警报详细信息视图上选择响应按钮或操作菜单选项)。
-
在输入区域输入
isolate命令和一个可选的注释,例如isolate --comment "隔离此主机" - 按 回车键。
使用规则的端点响应操作自动隔离主机
主机隔离端点响应操作是 Enterprise 订阅功能。
请注意,自动主机隔离可能会导致意想不到的后果,例如中断合法的用户活动或阻止关键的业务流程。
-
向新的或现有的自定义查询规则添加端点响应操作。只要满足规则条件,端点响应操作就会运行
- 新规则:在自定义查询规则创建的最后一步中,转到 响应操作部分,然后选择 Elastic Defend。
- 现有规则:编辑规则的设置,然后转到 操作选项卡。在选项卡中,选择响应操作部分下的 Elastic Defend。
- 在 响应操作字段中,选择隔离。
- 输入描述您为何隔离主机的评论(可选)。
- 要完成添加响应操作,请单击 创建并启用规则(对于新规则)或保存更改(对于现有规则)。
主机成功隔离后,会将 已隔离 状态添加到端点。活动终端用户会收到计算机已与网络隔离的通知
释放主机
编辑从检测警报释放主机
-
打开检测警报
- 从“警报”表或“时间线”中:单击查看详细信息()。
- 从带有附加警报的案例中:单击 显示警报详细信息(>)。
- 从“警报”表或“时间线”中:单击查看详细信息(
- 从警报详细信息弹出窗口中,单击 执行操作 → 释放主机。
- 输入描述您为何释放主机的评论(可选)。
- 单击 确认。
从端点释放主机
-
在导航菜单中查找端点,或使用全局搜索字段,然后执行以下操作之一
- 在端点列中选择适当的端点,然后在端点详细信息弹出窗口中单击 执行操作 → 释放主机。
- 单击适当端点上的操作菜单(…),然后选择 释放主机。
- 输入描述您为何释放主机的评论(可选)。
- 单击 确认。
从响应控制台释放主机
响应控制台是Enterprise 订阅功能。
- 打开主机的响应控制台(在主机、端点或警报详细信息视图上选择响应按钮或操作菜单选项)。
-
在输入区域输入
release命令和一个可选的注释,例如release --comment "释放此主机" - 按 回车键。
主机成功释放后,已隔离 状态会从端点中删除。活动终端用户会收到计算机已重新连接到网络的通知
查看主机隔离历史记录
编辑要确认主机是否已成功隔离或释放,请检查响应操作历史记录,其中记录了在主机上执行的响应操作。
转到 端点页面,单击端点的名称,然后单击 响应操作历史记录选项卡。您可以筛选此视图中显示的信息。有关详细信息,请参阅响应操作历史记录。
