› ›

第三方响应操作

此功能处于技术预览阶段，可能会在未来版本中更改或删除。Elastic 将努力修复任何问题，但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。

您可以在注册到其他第三方端点保护系统（例如 CrowdStrike 或 SentinelOne）的主机上执行响应操作。例如，您可以指示另一个系统将可疑端点从您的网络隔离，而无需离开 Elastic Security UI。

以下响应操作支持用于已注册 CrowdStrike 的主机

以下响应操作支持用于已注册 SentinelOne 的主机

隔离和释放主机，使用以下任意方法
- 从检测告警
- 从响应控制台
有关更多详细信息，请参阅关于隔离和释放主机的说明。
从主机检索文件，使用get-file响应操作。

对于已注册 SentinelOne 的主机，您必须使用密码Elastic@123才能打开检索到的文件。
获取主机上运行的进程列表，使用processes响应操作。对于已注册 SentinelOne 的主机，此命令返回用于下载文件中进程列表的链接。
终止主机上运行的进程，使用kill-process响应操作。

对于已注册 SentinelOne 的主机，您必须使用参数--processName来标识要终止的进程。--pid和--entityId不受支持。

示例：kill-process --processName cat --comment "终止可疑进程"
查看过去的响应操作活动，在响应操作历史记录日志中。