为 macOS Monterey 启用访问权限
编辑为 macOS Monterey 启用访问权限
编辑要在没有移动设备管理 (MDM) 配置文件的情况下手动正确安装和配置 Elastic Defend,在 Elastic Endpoint(执行 Elastic Defend 威胁监控和预防的已安装组件)完全发挥作用之前,必须在主机上启用其他权限。
在您配置并安装 Elastic Defend 集成(包括注册 Elastic Agent)之后,需要启用以下权限。
批准 Elastic Endpoint 的系统扩展
编辑对于 macOS Monterey (12.x),Elastic Endpoint 将尝试在安装期间加载系统扩展。必须加载此系统扩展才能提供对系统事件(如进程事件、文件系统事件和网络事件)的洞察。
安装期间会出现以下消息
- 单击 打开安全性偏好设置。
-
在安全性与隐私窗格的左下角,单击 锁定按钮,然后输入您的凭据进行身份验证。
-
单击 允许,以允许 Elastic Endpoint 系统扩展加载。
批准 Elastic Endpoint 的网络内容过滤
编辑成功加载 Elastic Endpoint 系统扩展后,会出现一条附加消息,要求允许 Elastic Endpoint 过滤网络内容。
- 单击 允许,以启用 Elastic Endpoint 系统扩展的内容过滤。如果没有此批准,Elastic Endpoint 将无法接收网络事件,因此无法启用网络相关功能,如主机隔离。
为 Elastic Endpoint 启用完全磁盘访问
编辑Elastic Endpoint 需要完全磁盘访问才能通过 Elastic Defend 框架订阅系统事件,并保护您的网络免受恶意软件和其他网络安全威胁。要在运行 macOS Catalina (10.15) 及更高版本的终端上启用完全磁盘访问,您必须手动批准 Elastic Endpoint。
以下说明仅适用于运行 8.0.0 及更高版本的 Elastic Endpoint。要查看 Endgame 传感器的完全磁盘访问要求,请参阅 Endgame 的文档。
- 打开 系统偏好设置 应用程序。
-
选择 安全性与隐私。
- 在安全性与隐私窗格中,选择隐私选项卡。
-
从左侧窗格中,选择完全磁盘访问。
- 在窗格的左下角,单击 锁定按钮,然后输入您的凭据进行身份验证。
-
在隐私选项卡中,确认已选择
ElasticEndpoint和co.elastic.systemextension以正确启用完全磁盘访问。
如果终端运行的是 Elastic Endpoint 7.17.0 或更早版本
- 在窗格的左下角,单击 锁定按钮,然后输入您的凭据进行身份验证。
- 单击 + 按钮以查看 Finder。
- 导航至
/Library/Elastic/Endpoint,然后选择elastic-endpoint文件。 - 单击 打开。
- 在隐私选项卡中,确认已选择
elastic-endpoint和co.elastic.systemextension以正确启用完全磁盘访问。
