阻止列表
编辑阻止列表编辑
阻止列表允许您阻止指定应用程序在主机上运行,扩展 Elastic Defend 认为有害的进程列表。这有助于确保最终用户不会意外执行已知的恶意进程。
阻止列表并非旨在出于非安全原因广泛阻止良性应用程序;仅将其用于阻止潜在有害的应用程序。要将阻止列表与其他终端工件进行比较,请参阅 优化 Elastic Defend.
默认情况下,阻止列表条目在运行 Elastic Defend 的所有主机上全局识别。如果您有 铂金或企业订阅,您还可以将阻止列表条目分配给特定 Elastic Defend 集成策略,这将仅阻止分配到该策略的主机上的进程。
- 转到 管理 → 阻止列表.
- 单击 添加阻止列表条目。 添加阻止列表 侧边栏出现。
-
在 详细信息 部分中填写以下字段
-
名称:输入一个名称来识别阻止列表中的应用程序。 -
描述:输入一个描述以提供有关阻止列表条目的更多信息(可选)。
-
-
在 条件 部分中,输入有关您要阻止的应用程序的以下信息
-
选择操作系统:从下拉菜单中选择适当的操作系统。 -
字段:选择一个字段来识别被阻止的应用程序-
哈希值:应用程序可执行文件的 MD5、SHA-1 或 SHA-256 哈希值。 -
路径:应用程序可执行文件的完整文件路径。 -
签名: (仅限 Windows)应用程序的数字签名者的名称。要查找应用程序的签名者名称,请转到 Kibana → 发现 并查询应用程序可执行文件的进程名称(例如,对于 McAfee 安全二进制文件,
process.name : "mctray.exe")。然后,在结果中搜索process.code_signature.subject_name字段,其中包含签名者的名称(例如,McAfee, Inc.)。
-
-
运算符:运算符为是其中之一并且无法修改。 -
值:输入哈希值、文件路径或签名者名称。要输入多个值(例如已知恶意哈希值的列表),您可以分别输入每个值或粘贴逗号分隔的列表,然后按 回车.哈希值必须有效才能将其添加到阻止列表。
-
-
在 分配 部分中选择一个选项以将阻止列表条目分配给特定集成策略
-
全局:将阻止列表条目分配给所有 Elastic Defend 集成策略。 -
每个策略:将阻止列表条目分配给一个或多个特定 Elastic Defend 集成策略。选择您要将阻止列表条目应用于的每个策略。您也可以选择
每个策略选项,而无需立即将策略分配给阻止列表条目。例如,您可以在将阻止列表配置投入策略之前创建和查看它们。
-
- 单击 添加阻止列表。新条目将添加到 阻止列表 页面。
-
完成向阻止列表添加条目后,请确保已为刚刚分配的 Elastic Defend 集成策略启用阻止列表
- 转到 管理 → 策略,然后单击一个集成策略。
- 在 策略设置 选项卡上,确保 恶意软件保护 和 阻止列表 切换已打开。这两个设置默认情况下都已启用。
查看和管理阻止列表编辑
阻止列表 页面显示已添加到 Elastic Security 应用程序的所有阻止列表条目。要优化列表,请使用搜索栏按名称、描述或字段值进行搜索。
编辑阻止列表条目编辑
您可以单独修改每个阻止列表条目。使用铂金或企业订阅,您还可以更改分配给阻止列表条目的策略。
要编辑阻止列表条目
- 单击要编辑的阻止列表条目的操作菜单(…),然后选择 编辑阻止列表.
- 根据需要修改详细信息。
- 单击 保存.
删除阻止列表条目编辑
您可以删除阻止列表条目,这将将其从所有 Elastic Defend 策略中完全删除。这将允许最终用户访问以前被阻止的应用程序。
要删除阻止列表条目
- 单击要删除的阻止列表条目的操作菜单(…),然后选择 删除阻止列表.
- 在打开的对话框中,验证您是否正在删除正确的阻止列表条目,然后单击 删除。将显示一条确认消息。