事件捕获和 Elastic Defend

Elastic Defend 收集有关系统活动的精选数据，以检测和阻止尽可能多的威胁，同时平衡存储和性能开销。为此，Elastic Defend 并非旨在提供所有系统事件的完整捕获。Elastic Defend 生成的事件数据可能会根据需要进行聚合、截断或去重，以优化威胁检测和预防。

您可以使用额外的 Elastic 集成 和工具来补充 Elastic Defend 的保护功能，从而提供更多可见性和历史数据。请参阅以下部分以扩展特定系统事件的数据收集。

网络端口创建和删除编辑

Elastic Defend 跟踪 TCP 连接。如果端口已创建但没有流量，则不会生成任何事件。

要完全捕获网络端口的创建和删除，请考虑使用 自定义 Windows 事件日志 集成捕获 Windows 事件 ID 5158。

网络进出连接编辑

Elastic Defend 跟踪 TCP 连接，不包括网络进出连接。

要进行完整的网络捕获，请考虑使用 网络数据包捕获 集成部署 Packetbeat。

用户行为编辑

Elastic Defend 仅捕获其行为保护所需的用户信息安全事件。这并不包括所有用户事件，例如登录和注销，或者每次创建、删除或修改用户帐户时。

要完全捕获所有或特定的 Windows 安全事件，请考虑使用 自定义 Windows 事件日志 集成。

系统服务注册、删除和修改编辑

Elastic Defend 仅捕获其行为保护引擎所需的系统服务安全事件。服务创建和修改也可以在注册表活动中检测到，Elastic Defend 对其有内部规则，例如 来自可疑内存的注册表或文件修改。

要完全捕获所有或特定的 Windows 安全事件，请考虑使用 自定义 Windows 事件日志 集成。特别是，捕获诸如 Windows 事件 ID 4697 之类的事件。

内核驱动程序注册、删除和查询编辑

Elastic Defend 在加载每个驱动程序时都会对其进行扫描，但不会每次都生成事件。

驱动程序在系统中注册为系统服务。您可以使用 Windows 事件 ID 4697 使用 自定义 Windows 事件日志 集成来捕获此信息。

还要考虑使用 Winlogbeat 的 Sysmon 模块 捕获 Windows 事件 ID 6。

系统配置文件创建、修改和删除编辑

Elastic Defend 跟踪系统上所有文件的创建、修改和删除。但是，如上所述，数据可能会被聚合、截断或去重，以仅提供威胁检测和预防所需的內容。