« Elastic Endgame 要求 在 macOS Ventura 及更高版本上为 Elastic Endgame 传感器启用完全磁盘访问权限 »
Elastic 文档 Elastic 安全解决方案 [8.14] Elastic 安全解决方案入门 Elastic Endgame 要求

在 macOS Catalina 到 Monterey 上为 Elastic Endgame 传感器启用完全磁盘访问权限

编辑

在 macOS Catalina 到 Monterey 上为 Elastic Endgame 传感器启用完全磁盘访问权限编辑

在 macOS 上,Elastic Endgame 需要完全磁盘访问权限来保护您免受恶意软件和其他网络安全威胁。完全磁盘访问权限是一个隐私功能,它控制哪些应用程序可以访问您的数据。这意味着您需要手动为 Elastic Endgame 传感器启用完全磁盘访问权限,以便它可以访问您 Mac 上受保护的区域。

macOS 权限编辑

Elastic Endgame 传感器的行为会根据您的 macOS 版本有所不同。MDM/Jamf 用户可以在不授予传感器权限的情况下预先批准所有完全磁盘访问权限。但是,根据 macOS 版本和传感器类型,非 MDM/Jamf 用户可能会被提示为所需的安全性文件启用完全磁盘访问权限。

以下是特定 macOS 版本的完全磁盘访问权限要求

  • 10.15: 必须允许传感器加载 内核扩展 才能安装传感器。在安装过程中,系统会提示您转到“系统偏好设置”并批准它。批准后,安装过程将继续。

  • 11.0, 12.0: 必须允许传感器加载 系统扩展 才能安装传感器。在安装过程中,系统会提示您转到“系统偏好设置”并批准它。批准后,将出现第二个提示,要求启用网络过滤。批准此最终提示以继续。

    您还必须授予 com.endgame.systemextension 完全磁盘访问权限。

  • 10.15, 11.0, 12.0: 授予 esensor 文件 完全磁盘访问权限。

以下说明仅适用于 Elastic Endgame 传感器。要查看 Elastic Endpoint 的要求,请参阅 Elastic Endpoint 要求

批准 Elastic Endgame 传感器的内核扩展编辑

对于运行 macOS Catalina (10.15) 的端点,Elastic Endgame 传感器将在安装过程中尝试加载内核扩展(而不是系统扩展)。此内核扩展是提供对系统事件(例如进程事件、文件系统事件和网络事件)的洞察力的必要条件。在安装过程中,将出现以下提示

System extension blocked

要批准扩展

  1. 单击 打开安全偏好设置.
  2. 在窗格的左下角,单击 锁定按钮,然后输入您的凭据进行身份验证。

  3. 单击 允许 以加载内核扩展。

    Allow kernel extension

    如果提示未出现,请通过执行以下操作启用扩展

  4. 打开终端应用程序。

  5. 输入 kextload /Library/Extension/kendpoint.kext。如果需要,请在命令前加上 sudo。您将收到类似于以下内容的输出

    149 0 0xffffff7f82e7b000 0x21000 0x21000 co.elastic.kendpoint (7.11.0) BD152A57-ABD3-370A-BBE8-D15A0FCBD19A <6 5 2 1>

    如果您收到此输出,则内核扩展已启用。

批准 Elastic Endgame 传感器的系统扩展编辑

要在使用 Elastic Endgame 和系统扩展时从恶意软件和其他网络安全威胁中全面保护端点,必须在 macOS Big Sur (11.0) 及更高版本上安装期间启用系统扩展。

当您收到批准加载系统扩展的提示时

  1. 打开 系统偏好设置 应用程序。

  2. 选择 安全和隐私.

    sec privacy pane

  3. 单击 允许 以允许加载 Elastic Endgame 系统扩展。

    Allow kernel extension
  4. 输入您的用户名和密码,然后单击 修改设置 以保存您的更改。

批准 Elastic Endgame 的网络内容过滤编辑

以下说明仅适用于您使用的是 macOS BigSur (11.0) 或更高版本的情况。

成功加载 Elastic Endgame 系统扩展后,会出现一条额外的消息,询问是否允许 Elastic Endgame 过滤网络内容。

endgame allow network filter ven

单击 允许 以为 Elastic Endgame 系统扩展启用内容过滤。如果没有此批准,Elastic Endgame 将无法接收网络事件,因此无法启用与网络相关的功能,例如 主机隔离

为 Elastic Endgame 传感器启用完全磁盘访问权限编辑

为了让 Elastic Endgame 传感器检测来自 macOS 主机的事件,必须为 esensor 文件启用完全磁盘访问权限。此文件在您将传感器下载到主机后出现。

  1. 打开 系统偏好设置 应用程序。
  2. 单击 安全和隐私.
  3. 安全和隐私 窗格中,选择 隐私 选项卡。

  4. 从左侧窗格中选择 完全磁盘访问权限.

    Select Full Disk Access
  5. 在窗格的左下角,单击 锁定按钮,然后输入您的凭据进行身份验证。
  6. 单击 + 按钮以查看 Finder.
  7. 导航到 /Library/Endgame,然后选择 esensor 文件。
  8. 单击 打开.
  9. 隐私 选项卡中,确认 com.endgame.systemextensionesensor 文件是否出现在具有完全磁盘访问权限的应用程序列表中。

Elastic Endgame 传感器现在拥有全面保护系统所需的访问权限。

« Elastic Endgame 要求 在 macOS Ventura 及更高版本上为 Elastic Endgame 传感器启用完全磁盘访问权限 »