受信任的应用程序
编辑受信任的应用程序
编辑如果您将 Elastic Defend 与其他防病毒 (AV) 软件一起使用,则可能需要配置其他系统以信任 Elastic Endpoint。有关更多信息,请参阅在第三方防病毒应用中将 Elastic Endpoint 列入允许列表。
您可以添加应受信任的 Windows、macOS 和 Linux 应用程序,例如其他防病毒或终端安全应用程序。受信任的应用程序旨在帮助缓解性能问题以及与主机上安装的其他终端软件的不兼容性。受信任的应用程序仅适用于运行 Elastic Defend 集成的主机。
受信任的应用程序会为 Elastic Defend 创建盲点,因为这些应用程序不再受到威胁监控。攻击者利用这些盲点的一种途径是通过 DLL(动态链接库)侧加载,他们利用受信任的供应商(例如防病毒软件)签名的进程来执行其恶意 DLL。此类活动看起来源自受信任的应用程序的进程。
在某些情况下,受信任的应用程序可能仍会生成警报,例如,如果应用程序的进程事件表明存在恶意行为。为了减少误报警报,请添加一个终端警报异常,以防止 Elastic Defend 生成警报。要将受信任的应用程序与其他终端工件进行比较,请参阅优化 Elastic Defend。
此外,受信任的应用程序仍会生成进程事件,供 Elastic Stack 进行可视化和其他内部使用。要防止将进程事件写入 Elasticsearch,请使用事件过滤器来过滤掉您不希望存储在 Elasticsearch 中的特定事件,但请注意,依赖于这些进程事件的功能可能无法正常工作。
默认情况下,受信任的应用程序在所有运行 Elastic Defend 的主机上全局识别。如果您拥有白金版或企业版订阅,您还可以将受信任的应用程序分配给特定的 Elastic Defend 集成策略,从而使该应用程序仅受分配给该策略的主机信任。
要添加受信任的应用程序
- 在导航菜单中找到受信任的应用程序或使用全局搜索字段。
- 单击添加受信任的应用程序。
-
在添加受信任的应用程序浮出层中填写以下字段
-
为您的受信任的应用程序命名:输入受信任的应用程序的名称。 -
描述(可选):输入受信任的应用程序的描述。 -
选择操作系统:从下拉列表中选择适当的操作系统。 -
字段:选择一个字段来标识受信任的应用程序-
哈希:应用程序可执行文件的 MD5、SHA-1 或 SHA-256 哈希值。 -
路径:应用程序可执行文件的完整文件路径。 -
签名:(仅限 Windows 和 macOS)应用程序数字签名者的名称。要查找应用程序的签名者名称,请转到Kibana → Discover 并查询应用程序可执行文件的进程名称(例如,McAfee 安全二进制文件的
process.name : "mctray.exe")。然后,在结果中搜索process.code_signature.subject_name字段,其中包含签名者的名称(例如,McAfee, Inc.)。
-
-
运算符:选择一个运算符来定义条件-
is:必须完全等于值;不支持通配符。此运算符是哈希和签名字段类型所必需的。 -
matches:可以在值中包含通配符,例如C:\path\*\app.exe。此选项仅适用于路径字段类型。可用的通配符是?(匹配一个字符)和*(匹配零个或多个字符)。
-
-
值:输入哈希值、文件路径或签名者名称。要添加其他值,请单击和。每个受信任的应用程序只能添加一个字段类型值。例如,如果您尝试添加两个
路径值,您将收到一条错误消息。此外,应用程序的哈希值必须有效,才能将其添加为受信任的应用程序。此外,为了最大限度地减少 Elastic Security 应用程序中的可见性差距,请在您的条目中尽可能具体。例如,将签名信息与已知的路径结合使用。
-
-
在分配部分中选择一个选项,以将受信任的应用程序分配给特定的集成策略
-
全局:将受信任的应用程序分配给 Elastic Defend 的所有集成策略。 -
按策略(仅限白金版或企业版订阅):将受信任的应用程序分配给一个或多个特定的 Elastic Defend 集成策略。选择您希望应用程序受信任的每个策略。您也可以选择
按策略选项,而不立即将策略分配给受信任的应用程序。例如,您可以这样做来创建和审查您的受信任的应用程序配置,然后再将它们与策略一起付诸实施。
-
- 单击添加受信任的应用程序。该应用程序将添加到受信任的应用程序列表中。
查看和管理受信任的应用程序
编辑受信任的应用程序页面显示已添加到 Elastic Security 应用程序的所有受信任的应用程序。要优化列表,请使用搜索栏按名称、描述或字段值进行搜索。
编辑受信任的应用程序
编辑您可以单独修改每个受信任的应用程序。对于白金版或企业版订阅,您还可以更改受信任的应用程序分配到的策略。
要编辑受信任的应用程序
- 单击要编辑的受信任的应用程序上的操作菜单 (…),然后选择编辑受信任的应用程序。
- 根据需要修改详细信息。
- 单击保存。
删除受信任的应用程序
编辑您可以删除受信任的应用程序,这将从所有 Elastic Defend 集成策略中完全删除该应用程序。
要删除受信任的应用程序
- 单击要删除的受信任的应用程序上的操作菜单 (…),然后选择删除受信任的应用程序。
- 在打开的对话框中,确认您正在删除正确的应用程序,然后单击删除。将显示一条确认消息。