响应操作历史记录
编辑响应操作历史记录编辑
Elastic Security 会记录对端点执行的响应操作,例如隔离主机或终止进程。日志显示每个命令执行的时间、执行操作的主机、请求操作的 Kibana 用户、添加到操作的任何注释以及操作的当前状态。
要访问所有端点的响应操作历史记录,请转到管理 → 响应操作历史记录。您也可以从以下区域访问单个端点的响应操作历史记录
- 端点页面:单击端点名称以打开详细信息弹出窗口,然后单击响应操作历史记录选项卡。
- 响应控制台页面:单击响应操作历史记录按钮。
所有这些上下文都包含相同的信息和功能。下图显示了所有端点的响应操作历史记录页面
要筛选和扩展响应操作历史记录中的信息
- 在搜索字段中输入用户名或用逗号分隔的用户名列表以显示这些用户请求的操作。
-
使用各种下拉菜单筛选显示的操作
- 主机:显示对特定端点执行的操作。(仅在所有端点的响应操作历史记录页面上可用。)
- 操作:显示特定操作类型。
- 状态:显示具有特定状态的操作。
- 类型:根据端点保护代理类型(Elastic Defend 或第三方代理)以及操作触发方式(由用户手动触发或由检测规则自动触发)显示操作。
- 使用日期和时间选择器显示特定时间范围内的操作。
- 单击右侧的展开箭头以显示有关操作的更多详细信息。