自动响应操作
编辑自动响应操作编辑
将 Elastic Defend 的 响应操作 添加到检测规则,以便在事件满足规则条件时自动对受影响的主机执行操作。使用这些操作来支持您对检测到的威胁和可疑事件的响应。
您可以将自动响应操作添加到新的或现有的自定义查询规则。
-
执行以下操作之一
- 新规则:在 自定义查询规则 创建的最后一步中,转到 响应操作 部分并选择 Elastic Defend。
- 现有规则:编辑规则的设置,然后转到 操作 选项卡。在选项卡中,在 响应操作 部分下选择 Elastic Defend。
-
在 响应操作 字段中选择一个选项
- 隔离:隔离主机,阻止与网络上的其他主机通信。
- 终止进程:终止主机上的进程。
- 挂起进程:暂时挂起主机上的进程。
请注意,自动主机隔离会导致意外后果,例如中断合法用户活动或阻止关键业务流程。
-
对于进程操作,请指定如何识别要终止或挂起的进程
- 打开切换以使用警报的 process.pid 值作为标识符。
- 要使用不同的警报字段值来识别进程,请关闭切换并输入 自定义字段名称。
- 输入一条评论,说明您为什么要对主机执行操作(可选)。
- 要完成添加响应操作,请单击 创建并启用规则(对于新规则)或 保存更改(对于现有规则)。