隔离主机
编辑隔离主机编辑
主机隔离允许您将主机与网络隔离,阻止它们与网络上的其他主机通信,直到您释放该主机。隔离主机对于响应恶意活动或防止潜在攻击非常有用,因为它可以阻止跨其他主机的横向移动。
但是,隔离的主机仍然可以将数据发送到 Elasticsearch 和 Kibana。您还可以为隔离的主机仍然允许通信的特定 IP 地址创建主机隔离异常,即使它们被阻止与网络上的其他主机通信。
您可以从检测警报的详细信息弹出窗口、端点页面或(使用企业版订阅)从端点响应控制台隔离主机。成功隔离主机后,将在Agent 状态字段旁边显示隔离状态,您可以在警报详细信息弹出窗口或端点列表表格中查看此状态。
如果请求失败,请在重试之前验证 Elastic Agent 和您的端点是否都联机。
对主机执行的所有操作都会在主机的响应操作历史记录中进行跟踪,您可以从端点页面访问该历史记录。有关更多信息,请参阅查看主机隔离历史记录。
隔离主机编辑
从检测警报隔离主机
-
打开检测警报
- 从警报表或时间线:点击查看详细信息 (
). - 从附加了警报的案例:点击显示警报详细信息 (>).
- 从警报表或时间线:点击查看详细信息 (
- 点击采取操作 → 隔离主机.
- 输入一个描述您隔离主机的理由的注释(可选)。
- 点击确认.
从端点隔离主机
-
转到管理 → 端点,然后执行以下任一操作
- 在端点列中选择相应的端点,然后在端点详细信息弹出窗口中点击采取操作 → 隔离主机.
- 点击相应端点的操作菜单 (…),然后选择隔离主机.
- 输入一个描述您隔离主机的理由的注释(可选)。
- 点击确认.
从响应控制台隔离主机
响应控制台是企业版订阅的功能。
- 打开主机的响应控制台(在主机、端点或警报详细信息视图中选择响应按钮或操作菜单选项)。
-
在输入区域中输入
isolate命令和可选注释,例如isolate --comment "隔离此主机" - 按回车.
使用规则的端点响应操作自动隔离主机
成功隔离主机后,会在端点中添加隔离状态。活动终端用户会收到一条通知,告知其计算机已从网络中隔离。
释放主机编辑
从检测警报释放主机
-
打开检测警报
- 从警报表或时间线:点击查看详细信息 ().
- 从附加了警报的案例:点击显示警报详细信息 (>).
- 从警报表或时间线:点击查看详细信息 (
- 从警报详细信息弹出窗口中,点击采取操作 → 释放主机.
- 输入一个描述您释放主机的理由的注释(可选)。
- 点击确认.
从端点释放主机
-
转到管理 → 端点,然后执行以下任一操作
- 在端点列中选择相应的端点,然后在端点详细信息弹出窗口中点击采取操作 → 释放主机.
- 点击相应端点的操作菜单 (…),然后选择释放主机.
- 输入一个描述您释放主机的理由的注释(可选)。
- 点击确认.
从响应控制台释放主机
响应控制台是企业版订阅的功能。
- 打开主机的响应控制台(在主机、端点或警报详细信息视图中选择响应按钮或操作菜单选项)。
-
在输入区域中输入
release命令和可选注释,例如release --comment "释放此主机" - 按回车.
成功释放主机后,会从端点中删除隔离状态。活动终端用户会收到一条通知,告知其计算机已重新连接到网络。
查看主机隔离历史记录编辑
要确认主机是否已成功隔离或释放,请检查响应操作历史记录,该记录记录了对主机执行的响应操作。
转到管理 → 端点,点击端点名称,然后点击响应操作历史记录选项卡。您可以过滤在此视图中显示的信息。有关更多详细信息,请参阅响应操作历史记录。
