事件捕获和 Elastic Defend
编辑事件捕获和 Elastic Defend
编辑为了尽可能多地检测和防止威胁,同时平衡存储和性能开销,Elastic Defend 会收集系统活动的特定数据。因此,Elastic Defend 的设计目的并非提供所有系统事件的完整捕获。Elastic Defend 生成的事件数据可能会根据需要进行聚合、截断或去重,以优化威胁检测和预防。
您可以使用额外的 Elastic 集成和工具来补充 Elastic Defend 的保护能力,从而提供更高的可见性和历史数据。请参阅以下部分,以扩展特定系统事件的数据收集。
网络端口的创建和删除
编辑Elastic Defend 跟踪 TCP 连接。如果创建了端口但没有流量流动,则不会生成事件。
为了完整捕获网络端口的创建和删除,请考虑使用 自定义 Windows 事件日志集成捕获 Windows 事件 ID 5158。
网络入/出连接
编辑Elastic Defend 跟踪 TCP 连接,其中不包括网络入/出连接。
为了完整捕获网络,请考虑使用 网络数据包捕获集成部署 Packetbeat。
用户行为
编辑Elastic Defend 仅捕获其行为保护所需的用户的安全事件。这不包括每个用户事件,例如登录和注销,或者每次创建、删除或修改用户帐户。
为了完整捕获所有或特定的 Windows 安全事件,请考虑使用 自定义 Windows 事件日志集成。
系统服务的注册、删除和修改
编辑Elastic Defend 仅捕获其行为保护引擎所需的系统服务安全事件。服务创建和修改也可以在注册表活动中检测到,Elastic Defend 对此具有内部规则,例如 来自可疑内存的注册表或文件修改。
为了完整捕获所有或特定的 Windows 安全事件,请考虑使用 自定义 Windows 事件日志集成。特别是,捕获诸如 Windows 事件 ID 4697 之类的事件。
内核驱动程序的注册、删除和查询
编辑Elastic Defend 会在每次加载驱动程序时扫描它,但不会在每次都生成事件。
驱动程序在系统中注册为系统服务。您可以使用 自定义 Windows 事件日志集成使用 Windows 事件 ID 4697 捕获此信息。
还可以考虑使用 Winlogbeat 的 Sysmon 模块捕获 Windows 事件 ID 6。
系统配置文件的创建、修改和删除
编辑Elastic Defend 跟踪系统上所有文件的创建、修改和删除。但是,如上所述,数据可能会被聚合、截断或去重,以便仅提供威胁检测和预防所需的内容。