« 将数据导入 Elastic Security 防止卸载 Elastic Agent »
Elastic 文档 Elastic 安全解决方案 [8.14] Elastic Security 入门

安装和配置 Elastic Defend 集成

编辑

安装和配置 Elastic Defend 集成编辑

与其他 Elastic 集成一样,Elastic Defend 通过 Fleet 集成到 Elastic Agent 中。配置后,该集成允许 Elastic Agent 监控主机上的事件并将数据发送到 Elastic Security 应用程序。

要求

  • Elastic Defend 需要 Fleet。
  • 要在 Elastic Agent 上配置 Elastic Defend 集成,您必须有权在 Kibana 中使用 Fleet。
  • 您必须具有 Elastic Defend 策略管理:全部 权限 来配置集成策略,以及 端点列表 权限 来访问 端点 页面。

开始之前编辑

如果您使用的是 macOS,某些版本可能需要您授予不同内核、系统扩展或文件的完全磁盘访问权限。如果您正在安装 Elastic Endpoint,请参阅 Elastic Endpoint 要求,或者如果您正在安装 Endgame 传感器,请参阅 Endgame 传感器要求,以获取更多信息。

添加 Elastic Defend 集成编辑

  1. 转到 集成 页面,您可以通过多种方式访问该页面

    • 在 Kibana 中:管理集成
    • 在 Elastic Security 应用程序中:入门添加安全集成
    Search result for "Elastic Defend" on the Integrations page.

  2. 搜索并选择 Elastic Defend,然后选择 添加 Elastic Defend。集成配置页面将出现。

    如果这是您安装的第一个集成并且 准备添加您的第一个集成? 页面出现,请选择 仅添加集成(跳过代理安装) 以继续。您可以在设置 Elastic Defend 集成后 安装 Elastic Agent

    Add Elastic Defend integration page
  3. 使用 集成名称 和可选的 描述 配置 Elastic Defend 集成。
  4. 选择您要保护的环境类型,即 传统端点云工作负载

  5. 选择配置预设。每个预设都附带 Elastic Agent 的不同默认设置——您以后可以通过 配置 Elastic Defend 集成策略 来进一步自定义这些设置。

    传统端点预设

    所有传统端点预设(除了 数据收集)默认情况下都启用了以下预防措施:恶意软件、勒索软件、内存威胁、恶意行为和凭据盗窃。每个预设收集以下事件

    • 数据收集:所有事件;无预防措施
    • 下一代防病毒 (NGAV):进程事件;所有预防措施
    • 基本 EDR(端点检测和响应):进程、网络、文件事件;所有预防措施
    • 完整 EDR(端点检测和响应):所有事件;所有预防措施

    云工作负载预设

    两个云工作负载预设都适用于监控基于云的 Linux 主机。因此,默认情况下启用了 会话数据 收集,这会丰富进程事件。它们默认情况下都禁用了所有预防措施,并收集进程、网络和文件事件。

    • 所有事件:包括来自自动化会话的数据。
    • 仅交互式:通过创建 事件过滤器 来过滤掉来自非交互式会话的数据。
  6. 新的代理策略名称 中输入代理策略的名称。如果其他代理策略已经存在,您可以单击 现有主机 选项卡并选择现有策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅 Elastic Agent 策略
  7. 准备就绪后,单击 保存并继续
  8. 要完成集成,请选择 将 Elastic Agent 添加到您的主机 并继续到下一部分,在您的主机上安装 Elastic Agent。

配置和注册 Elastic Agent编辑

要启用 Elastic Defend 集成,您必须使用 Fleet 将代理注册到相关策略中。

在添加 Elastic Agent 之前,必须运行 Fleet Server。参阅 添加 Fleet Server

Elastic Defend 不能与独立模式下的 Elastic Agent 集成。

关于 Fleet Server 的重要信息编辑

如果您运行的是 7.13.0 之前的 Elastic Stack 版本,您可以跳过此部分。

如果您已升级到包含 Fleet Server 7.13.0 或更高版本的 Elastic Stack 版本,您将需要重新部署您的代理。查看以下场景以确保您采取了适当的步骤。

  • 如果您在升级后通过 Fleet 应用程序将 Elastic Agent 重新部署到同一台机器,将会出现一个新的代理。
  • 如果您想完全删除 Elastic Agent 而不迁移到 Fleet Server,那么您将需要手动卸载机器上的 Elastic Agent。这也会卸载端点。参阅 卸载 Elastic Agent
  • 在极少数情况下,如果 Elastic Agent 无法卸载,您可能需要手动卸载端点。请参阅本主题末尾的 卸载端点

添加 Elastic Agent编辑

  1. 如果您正在安装 Elastic Agent 集成(例如 Elastic Defend),添加代理 UI 会自动打开。否则,转到 Fleet代理添加代理

    Add agent flyout on the Fleet page.

  2. 为 Elastic Agent 选择代理策略。您可以选择现有策略,也可以选择 创建新的代理策略 来创建一个新的策略。有关 Elastic Agent 配置设置的更多详细信息,请参阅 Elastic Agent 策略

    所选的代理策略应包含您要安装在代理策略涵盖的主机上的集成(在本例中为 Elastic Defend)。

    Add agent flyout with Elastic Defend integration highlighted.
  3. 确保选中了 注册到 Fleet 选项。Elastic Defend 不能与独立模式下的 Elastic Agent 集成。
  4. 为主机选择适当的平台或操作系统,然后复制提供的命令。
  5. 在主机上,打开命令行界面并导航到您要安装 Elastic Agent 的目录。粘贴并运行来自 Fleet 的命令,以下载、提取、注册和启动 Elastic Agent。
  6. (可选)返回 Fleet 中的 添加代理 浮出窗口,并观察 确认代理注册确认传入数据 步骤自动检查主机连接。数据可能需要几分钟才能到达 Elasticsearch。

  7. 在您将 Elastic Agent 注册到您的主机后,您可以单击 查看已注册的代理 以访问 Fleet 中注册的代理列表。否则,选择 关闭

    主机现在将显示在 Elastic Security 应用程序中的 端点 页面上。端点数据可能需要再过一两分钟才能显示在 Elastic Security 中。

  8. 对于 macOS,请继续使用 这些说明 来授予 Elastic Endpoint 所需的权限。
« 将数据导入 Elastic Security 防止卸载 Elastic Agent »