配置第三方响应操作
编辑配置第三方响应操作
编辑此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。
您可以指示第三方端点保护系统对已注册的主机执行响应操作,例如将可疑端点与您的网络隔离,而无需离开 Elastic Security UI。此页面说明了为这些第三方系统启用响应操作所需的配置步骤。
- CrowdStrike
- SentinelOne
请查看 第三方响应操作 以了解每个系统支持哪些响应操作。
展开下面的部分以了解您的端点安全系统
设置 CrowdStrike 响应操作
-
在 CrowdStrike 中启用 API 访问。 在 CrowdStrike 中创建 API 客户端,以允许访问系统。有关说明,请参阅 CrowdStrike 的文档。
-
为 API 客户端提供读取 CrowdStrike 数据和对已注册主机执行操作所需的最低权限。请考虑为读取数据和执行操作创建单独的 API 客户端,以限制每个 API 客户端允许的权限。
- 要隔离和释放主机,API 客户端必须具有对警报的
读取权限,以及对主机的读取和写入权限。
- 要隔离和释放主机,API 客户端必须具有对警报的
- 请记下客户端 ID、客户端密钥和基本 URL;稍后在配置 Elastic Security 组件以访问 CrowdStrike 时,您将需要它们。
-
基本 URL 因您的 CrowdStrike 帐户类型而异
- US-1:
https://api.crowdstrike.com - US-2:
https://api.us-2.crowdstrike.com - EU-1:
https://api.eu-1.crowdstrike.com - US-GOV-1:
https://api.laggar.gcw.crowdstrike.com
- US-1:
-
-
安装 CrowdStrike 集成和 Elastic Agent。 Elastic 的 CrowdStrike 集成 会收集日志并将其摄取到 Elastic Security 中。
- 在导航菜单中找到 集成,或使用 全局搜索字段,搜索并选择 CrowdStrike,然后选择 添加 CrowdStrike。
- 使用 集成名称 和可选的 描述 配置集成。
-
选择 通过 API 收集 CrowdStrike 日志,然后输入所需的 设置
- 客户端 ID:用于读取 CrowdStrike 数据的 API 客户端的客户端 ID。
- 客户端密钥:允许您访问 CrowdStrike 的客户端密钥。
- URL:CrowdStrike API 的基本 URL。
- 选择 通过 API 收集 CrowdStrike 日志 下的 Falcon 警报 和 主机 子选项。
- 向下滚动,并在 新代理策略名称 中输入代理策略的名称。如果已经存在其他代理策略,您可以单击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅 Elastic Agent 策略。
- 单击 保存并继续。
- 选择 将 Elastic Agent 添加到您的主机,然后继续执行 Elastic Agent 安装步骤,以在您网络中的资源(例如服务器或 VM)上安装 Elastic Agent。Elastic Agent 将充当桥梁,从 CrowdStrike 收集数据并将其发送回 Elastic Security。
-
创建 CrowdStrike 连接器。 Elastic 的 CrowdStrike 连接器 使 Elastic Security 能够在 CrowdStrike 注册的主机上执行操作。
不要创建多个 CrowdStrike 连接器。
- 在导航菜单中找到 连接器,或使用 全局搜索字段,然后选择 创建连接器。
- 选择 CrowdStrike 连接器。
-
输入配置信息
- 连接器名称:用于标识连接器的名称。
- CrowdStrike API URL:CrowdStrike API 的基本 URL。
- CrowdStrike 客户端 ID:用于在 CrowdStrike 中执行操作的 API 客户端的客户端 ID。
- 客户端密钥:允许您访问 CrowdStrike 的客户端密钥。
- 单击 保存。
-
创建并启用检测规则以生成 Elastic Security 警报。(可选)创建 检测规则,以根据 CrowdStrike 事件和数据生成 Elastic Security 警报。CrowdStrike 集成文档 列出了可用于构建规则查询的可用摄取日志和字段。
这使您无需离开 Elastic Security 即可了解 CrowdStrike 的情况。您可以使用警报详细信息弹出窗口中的 采取操作 菜单,直接从规则创建的警报中执行支持的端点响应操作。
设置 SentinelOne 响应操作
-
在 SentinelOne 中生成 API 访问令牌。 您稍后将需要这些令牌,它们允许 Elastic Security 在 SentinelOne 中收集数据并执行操作。
在 SentinelOne 中创建两个 API 令牌,并为将使用它们的 Elastic 组件提供所需的最低权限
- SentinelOne 集成:读取 SentinelOne 数据的权限。
- SentinelOne 连接器:读取 SentinelOne 数据并在注册的主机上执行操作(例如,隔离和释放端点)的权限。
有关生成 API 令牌的详细信息,请参阅 SentinelOne 集成文档 或 SentinelOne 的文档。
-
安装 SentinelOne 集成和 Elastic Agent。 Elastic 的 SentinelOne 集成 会收集日志并将其摄取到 Elastic Security 中。
- 在导航菜单中找到 集成,或使用 全局搜索字段,搜索并选择 SentinelOne,然后选择 添加 SentinelOne。
- 使用 集成名称 和可选的 描述 配置集成。
-
确保选择了 通过 API 收集 SentinelOne 日志,然后输入所需的 设置
- URL:SentinelOne 控制台 URL。
- API 令牌:您之前生成的 SentinelOne API 访问令牌,具有读取 SentinelOne 数据的权限。
- 向下滚动,并在 新代理策略名称 中输入代理策略的名称。如果已经存在其他代理策略,您可以单击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅 Elastic Agent 策略。
- 单击 保存并继续。
- 选择 将 Elastic Agent 添加到您的主机,然后继续执行 Elastic Agent 安装步骤,以在您网络中的资源(例如服务器或 VM)上安装 Elastic Agent。Elastic Agent 将充当桥梁,从 SentinelOne 收集数据并将其发送到 Elastic Security。
-
创建 SentinelOne 连接器。 Elastic 的 SentinelOne 连接器 使 Elastic Security 能够在 SentinelOne 注册的主机上执行操作。
不要创建多个 SentinelOne 连接器。
- 在导航菜单中找到 连接器,或使用 全局搜索字段,然后选择 创建连接器。
- 选择 SentinelOne 连接器。
-
输入配置信息
- 连接器名称:用于标识连接器的名称。
- SentinelOne 租户 URL:SentinelOne 租户 URL。
- API 令牌:您之前生成的 SentinelOne API 访问令牌,具有读取 SentinelOne 数据并在注册的主机上执行操作的权限。
- 单击 保存。
-
创建并启用检测规则以生成 Elastic Security 警报。 创建 检测规则,以根据 SentinelOne 事件和数据生成 Elastic Security 警报。
这使您无需离开 Elastic Security 即可了解 SentinelOne 的情况。您可以使用警报详细信息弹出窗口中的 采取操作 菜单,直接从规则创建的警报中执行支持的端点响应操作。
创建规则时,您可以定位包含 SentinelOne 代理 ID 字段的任何事件。使用以下一个或多个索引模式
索引模式 SentinelOne 代理 ID 字段 logs-sentinel_one.alert*sentinel_one.alert.agent.idlogs-sentinel_one.threat*sentinel_one.threat.agent.idlogs-sentinel_one.activity*sentinel_one.activity.agent.idlogs-sentinel_one.agent*sentinel_one.agent.agent.id请勿包含任何其他索引模式。