Elastic Defend 功能权限
编辑Elastic Defend 功能权限编辑
您可以在 Kibana 中创建用户角色并定义权限来管理功能访问权限。这使您能够在管理 Elastic Defend 功能的访问权限时使用最小权限原则。
角色和权限在 Kibana 的 堆栈管理 → 角色 中配置。有关使用此 UI 的更多详细信息,请参阅 Kibana 权限。
Elastic Defend 的功能权限必须分配给 所有空间。您不能将它们分配给单个 Kibana 空间。
要授予访问权限,请在 Kibana 权限 配置 UI 中的 安全 功能中选择 全部,然后打开 自定义子功能权限 开关。对于以下每个子功能权限,选择要允许的访问类型
- 全部: 用户对该功能拥有完全访问权限,包括执行所有可用操作和管理配置。
- 读取: 用户可以查看该功能,但不能执行任何操作或管理配置。(某些功能没有此权限。)
- 无: 用户无法访问或查看该功能。
端点列表 |
访问 端点 页面,该页面列出了所有运行 Elastic Defend 的主机,以及相关的集成详细信息。 |
受信任的应用程序 |
访问 受信任的应用程序 页面以解决与其他软件(如防病毒或端点安全应用程序)的冲突。 |
主机隔离异常 |
访问 主机隔离异常 页面以添加隔离主机仍然可以与其通信的特定 IP 地址。 |
阻止列表 |
访问 阻止列表 页面以阻止指定应用程序在主机上运行,扩展 Elastic Defend 认为恶意进程的列表。 |
事件过滤器 |
访问 事件过滤器 页面以过滤掉您不想存储在 Elasticsearch 中的端点事件。 |
Elastic Defend 策略管理 |
访问 策略 页面和 Elastic Defend 集成策略以配置保护、事件收集和高级策略功能。 |
响应操作历史记录 |
访问 响应操作历史记录 以了解端点。 |
主机隔离 |
允许用户 隔离和释放主机。 |
进程操作 |
执行与主机进程相关的 响应操作,包括 |
文件操作 |
在响应控制台中执行与文件相关的 响应操作。 |
执行操作 |
在响应控制台中执行 shell 命令和与脚本相关的 响应操作。 这些命令使用运行 Elastic Defend 集成的相同用户帐户在主机上运行,该帐户通常对系统拥有完全控制权。仅向需要此访问级别权限的 Elastic Security 用户授予此功能权限。 |
升级注意事项编辑
从 Elastic Security 8.6 或更早版本升级后,现有用户角色将默认对任何新的端点管理功能权限分配 无,您需要显式分配它们。但是,以前许多功能需要内置的 superuser 角色,以前拥有此角色的用户在升级后仍将拥有它。
您可能希望用更专注于功能的权限替换广泛的宽松权限 superuser 角色,以确保用户只能访问他们需要的特定功能。有关分配角色和权限的更多详细信息,请参阅 Kibana 角色管理。