Elastic Defend 功能权限
编辑Elastic Defend 功能权限
编辑您可以创建用户角色并定义权限,以管理 Elastic Security 中的功能访问。这允许您在使用 Elastic Defend 的功能时遵循最小权限原则。
要配置角色和权限,请在导航菜单中查找 角色 或使用 全局搜索字段。有关使用此 UI 的更多详细信息,请参阅 Kibana 权限。
Elastic Defend 的功能权限必须分配给 所有空间。您不能将它们分配给单独的空间。
要授予访问权限,请在 将角色分配到空间 配置 UI 中,为 安全 功能选择 全部,然后打开 自定义子功能权限 开关。
为整体 安全 功能选择 全部 不会启用任何子功能。您还必须启用 自定义子功能权限 开关,然后单独启用每个子功能权限。
对于以下每个子功能权限,选择您要允许的访问类型:
- 全部:用户具有对该功能的完全访问权限,包括执行所有可用操作和管理配置。
- 读取:用户可以查看该功能,但不能执行任何操作或管理配置(某些功能没有此权限)。
- 无:用户无法访问或查看该功能。
端点列表 |
访问 端点 页面,其中列出了所有正在运行 Elastic Defend 的主机以及相关的集成详细信息。 |
受信任的应用程序 |
访问 受信任的应用程序 页面,以修复与其他软件(如防病毒软件或端点安全应用程序)的冲突。 |
主机隔离例外 |
访问 主机隔离例外 页面,以添加隔离主机仍然可以与之通信的特定 IP 地址。 |
阻止列表 |
访问 阻止列表 页面,以防止指定的应用程序在主机上运行,从而扩展 Elastic Defend 认为恶意进程的列表。 |
事件过滤器 |
访问 事件过滤器 页面,以过滤掉您不希望存储在 Elasticsearch 中的端点事件。 |
Elastic Defend 策略管理 |
访问 策略 页面和 Elastic Defend 集成策略,以配置保护、事件收集和高级策略功能。 |
响应操作历史记录 |
访问端点的 响应操作历史记录。 |
主机隔离 |
允许用户隔离和释放主机。 |
进程操作 |
执行主机进程相关的 响应操作,包括 |
文件操作 |
在响应控制台中执行与文件相关的 响应操作。 |
执行操作 |
在响应控制台中执行 shell 命令和与脚本相关的 响应操作。 这些命令使用运行 Elastic Defend 集成的同一用户帐户在主机上运行,该帐户通常对系统具有完全控制权。仅将此功能权限授予需要此级别访问权限的 Elastic Security 用户。 |
扫描操作 |
在响应控制台中执行文件夹扫描 响应操作。 |
升级注意事项
编辑从 Elastic Security 8.6 或更早版本升级后,现有用户角色将默认分配 无 用于任何新的端点管理功能权限,您需要明确分配它们。但是,许多功能以前需要内置的 superuser 角色,并且以前拥有此角色的用户在升级后仍然会拥有它。
您可能希望用更集中的基于功能的权限替换广泛允许的 superuser 角色,以确保用户只能访问他们需要的特定功能。有关分配角色和权限的更多详细信息,请参阅 Kibana 角色管理。