主机隔离异常
编辑主机隔离异常编辑
您可以为特定 IP 地址配置主机隔离异常,即使被阻止与网络中的其他主机通信,被 隔离的主机仍然可以与这些 IP 地址通信。被隔离的主机仍然可以向 Elasticsearch 和 Kibana 发送数据,因此您无需为它们设置主机隔离异常。
主机隔离异常支持 IPv4 地址,以及可选的无类别域间路由 (CIDR) 表示法。
每个主机隔离异常 IP 地址都应该是高度可信且安全的地址,因为您允许它与已被隔离以防止潜在威胁扩散的主机通信。
主机隔离是 铂金版或企业版订阅功能。默认情况下,主机隔离异常在运行 Elastic Defend 的所有主机上全局识别。您也可以将主机隔离异常分配给特定的 Elastic Defend 集成策略,使其仅影响分配给该策略的主机。
- 转到 管理 → 主机隔离异常。
- 点击 添加主机隔离异常。
-
在 添加主机隔离异常 弹出窗口中填写以下字段
-
命名您的主机隔离异常: 输入一个名称来标识主机隔离异常。 -
描述: 输入描述以提供有关主机隔离异常的更多信息(可选)。 -
输入 IP 地址: 输入您希望允许其与隔离的主机通信的 IP 地址。这必须是 IPv4 地址,可以包含可选的 CIDR 表示法(例如,0.0.0.0或1.0.0.0/24)。
-
-
在 分配 部分选择一个选项,将主机隔离异常分配给特定集成策略
-
全局: 将主机隔离异常分配给 Elastic Defend 的所有集成策略。 -
按策略: 将主机隔离异常分配给一个或多个特定的 Elastic Defend 集成策略。选择您希望应用主机隔离异常的每个策略。您也可以选择
按策略选项,但不要立即将策略分配给主机隔离异常。例如,您可以在将它们与策略一起投入使用之前创建和查看主机隔离异常配置。
-
- 点击 添加主机隔离异常。新异常将被添加到 主机隔离异常 列表中。
查看和管理主机隔离异常编辑
主机隔离异常 页面显示为 Elastic Security 配置的所有主机隔离异常。要优化列表,请使用搜索栏按名称、描述或 IP 地址进行搜索。
编辑主机隔离异常编辑
您可以单独修改每个主机隔离异常,并更改分配给主机隔离异常的策略。
要编辑主机隔离异常
- 点击要编辑的异常的操作菜单 (…),然后选择 编辑异常。
- 根据需要修改详细信息。
- 点击 保存。新修改的异常将显示在列表顶部。
删除主机隔离异常编辑
您可以删除主机隔离异常,这将完全从所有 Elastic Defend 集成策略中删除它。
要删除主机隔离异常
- 点击要删除的异常的操作菜单 (…),然后选择 删除异常。
- 在打开的对话框中,验证您是否要删除正确的主机隔离异常,然后点击 删除。将显示一条确认消息。