« Elastic Defend 要求 启用 macOS Monterey 的访问权限 »
Elastic 文档 Elastic 安全解决方案 [8.17] 使用 Elastic Defend 配置端点保护

安装 Elastic Defend 集成

编辑

安装 Elastic Defend 集成

编辑

与其他 Elastic 集成一样,Elastic Defend 使用 Fleet 集成到 Elastic Agent 中。配置完成后,该集成允许 Elastic Agent 监控主机上的事件并将数据发送到 Elastic Security 应用程序。

要求

  • Elastic Defend 需要 Fleet。
  • 要在 Elastic Agent 上配置 Elastic Defend 集成,您必须具有在 Kibana 中使用 Fleet 的权限。
  • 您必须拥有 Elastic Defend 策略管理:全部 权限才能配置集成策略,并且拥有 端点列表 权限才能访问端点页面。

开始之前

编辑

如果您使用的是 macOS,某些版本可能需要您授予不同内核、系统扩展或文件的“完全磁盘访问权限”。有关更多信息,请参阅 Elastic Defend 要求

Elastic Defend 不支持在 Kubernetes 中的 Elastic Agent DaemonSet 中进行部署。

添加 Elastic Defend 集成

编辑

  1. 在导航菜单中查找集成,或使用全局搜索字段

    Search result for "Elastic Defend" on the Integrations page.

  2. 搜索并选择 Elastic Defend,然后选择 添加 Elastic Defend。此时将出现集成配置页面。

    如果这是您安装的第一个集成,并且出现准备好添加您的第一个集成?页面,请选择仅添加集成(跳过代理安装)以继续。您可以在设置 Elastic Defend 集成后安装 Elastic Agent

    Add Elastic Defend integration page
  3. 使用集成名称和可选的描述配置 Elastic Defend 集成。
  4. 选择您要保护的环境类型,即传统端点云工作负载

  5. 选择一个配置预设。每个预设都带有不同的 Elastic Agent 默认设置——您稍后可以通过配置 Elastic Defend 集成策略来进一步自定义这些设置。

    传统端点预设

    数据收集 之外的所有传统端点预设默认情况下都启用了以下防护:恶意软件、勒索软件、内存威胁、恶意行为和凭据盗窃。每个预设都会收集以下事件

    • 数据收集:所有事件;无防护
    • 下一代防病毒 (NGAV):进程事件;所有防护
    • 基本 EDR(端点检测和响应):进程、网络、文件事件;所有防护
    • 完整 EDR(端点检测和响应):所有事件;所有防护

    云工作负载预设

    两种云工作负载预设都旨在监视基于云的 Linux 主机。因此,默认情况下启用会话数据收集,这会丰富进程事件。它们都默认禁用所有防护,并收集进程、网络和文件事件。

    • 所有事件:包括来自自动化会话的数据。
    • 仅交互式:通过创建事件过滤器来过滤掉来自非交互式会话的数据。
  6. 新代理策略名称中输入代理策略的名称。如果已存在其他代理策略,您可以单击现有主机选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅Elastic Agent 策略
  7. 准备就绪后,单击 保存并继续
  8. 要完成集成,请选择将 Elastic Agent 添加到您的主机,然后继续下一部分以在您的主机上安装 Elastic Agent。

配置和注册 Elastic Agent

编辑

要启用 Elastic Defend 集成,您必须使用 Fleet 将代理注册到相关策略中。

在添加 Elastic Agent 之前,必须运行 Fleet Server。请参阅添加 Fleet Server

Elastic Defend 无法与独立模式下的 Elastic Agent 集成。

关于 Fleet Server 的重要信息

编辑

如果您运行的 Elastic Stack 版本早于 7.13.0,则可以跳过此部分。

如果您已升级到包含 Fleet Server 7.13.0 或更高版本的 Elastic Stack 版本,则需要重新部署您的代理。查看以下场景以确保您采取适当的步骤。

  • 如果在升级后通过 Fleet 应用程序将 Elastic Agent 重新部署到同一台计算机,则会出现一个新的代理。
  • 如果您想在不转换为 Fleet Server 的情况下完全删除 Elastic Agent,则需要在计算机上手动卸载 Elastic Agent。这也会卸载端点。请参阅卸载 Elastic Agent
  • 在极少数情况下,如果 Elastic Agent 卸载失败,您可能需要手动卸载端点。请参阅本主题末尾的 卸载端点

添加 Elastic Agent

编辑

  1. 如果您正在安装 Elastic Agent 集成(如 Elastic Defend),则 添加代理 UI 会自动打开。否则,在导航菜单中查找 Fleet,或使用全局搜索字段,然后选择 代理添加代理

    Add agent flyout on the Fleet page.

  2. 为 Elastic Agent 选择一个代理策略。您可以选择现有策略,也可以选择创建新的代理策略来创建一个新策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅Elastic Agent 策略

    所选的代理策略应包含您要安装在代理策略覆盖的主机上的集成(在此示例中为 Elastic Defend)。

    Add agent flyout with Elastic Defend integration highlighted.
  3. 确保选中在 Fleet 中注册选项。Elastic Defend 无法与独立模式下的 Elastic Agent 集成。
  4. 为主机选择适当的平台或操作系统,然后复制提供的命令。
  5. 在主机上,打开命令行界面并导航到要安装 Elastic Agent 的目录。粘贴并运行 Fleet 中的命令以下载、提取、注册并启动 Elastic Agent。
  6. (可选)返回 Fleet 中的添加代理浮出控件,并观察确认代理注册确认传入数据步骤自动检查主机连接。数据可能需要几分钟才能到达 Elasticsearch。

  7. 在主机上注册 Elastic Agent 后,您可以单击查看已注册的代理以访问 Fleet 中注册的代理列表。否则,请选择关闭

    现在,该主机将出现在 Elastic Security 应用程序的端点页面上。端点数据可能还需要一两分钟才能出现在 Elastic Security 中。

  8. 对于 macOS,请继续按照这些说明操作,以授予 Elastic Endpoint 所需的权限。
« Elastic Defend 要求 启用 macOS Monterey 的访问权限 »