端点响应操作
编辑端点响应操作编辑
响应控制台允许您使用类似终端的界面对端点执行响应操作。您可以输入操作命令并获得近乎实时的反馈。操作也会记录在端点的 响应操作历史记录 中,以供参考。
所有端点平台(Linux、macOS 和 Windows)都支持响应操作。
从 Elastic Security 中的以下任何位置启动响应控制台
- 端点 页面 → 操作 菜单 (…) → 响应
- 端点详细信息弹出窗口 → 执行操作 → 响应
- 警报详细信息弹出窗口 → 执行操作 → 响应
- 主机详细信息页面 → 响应
要对端点执行操作,请在控制台底部的输入区域中输入 响应操作命令,然后按 Return。操作的输出将显示在控制台中。
如果主机不可用,待处理的操作将在主机上线后执行。待处理的操作将在两周后过期,您可以在响应操作历史记录中跟踪这些操作。
某些响应操作可能需要几秒钟才能完成。输入命令后,您可以在前一个操作运行时立即输入另一个命令。
响应控制台中的活动是持久的,因此您可以从页面导航到其他页面,您提交的任何待处理的操作都将继续运行。要确认操作已完成,请返回响应控制台查看控制台输出或检查 响应操作历史记录。
提交响应操作后,即使操作正在等待离线主机,您也无法取消它。
响应操作命令编辑
以下响应操作命令可在响应控制台中使用。
isolate编辑
隔离主机,阻止与网络上的其他主机进行通信。
所需权限:主机隔离
示例:isolate --comment "隔离与检测警报相关的主机"
release编辑
释放已隔离的主机,使其再次能够与网络通信。
所需权限:主机隔离
示例:release --comment "释放主机,一切正常"
status编辑
显示有关主机状态的信息,包括:Elastic Agent 状态和版本、Elastic Defend 集成的策略状态以及主机上次活动的时间。
processes编辑
显示主机上运行的所有进程的列表。此操作可能需要一分钟左右才能完成。
所需权限:进程操作
使用此命令获取当前 PID 或实体 ID 值,这些值是其他响应操作(如 kill-process 和 suspend-process)所必需的。
实体 ID 可能比 PID 更可靠,因为实体 ID 是主机上的唯一值,而 PID 值可以被操作系统重复使用。
kill-process编辑
终止进程。您必须包含以下参数之一来标识要终止的进程
-
--pid: 代表要终止的进程的进程 ID (PID)。 -
--entityId: 代表要终止的进程的实体 ID。
所需权限:进程操作
示例:kill-process --pid 123 --comment "终止可疑进程"
suspend-process编辑
挂起进程。您必须包含以下参数之一来标识要挂起的进程
-
--pid: 代表要挂起的进程的进程 ID (PID)。 -
--entityId: 代表要挂起的进程的实体 ID。
所需权限:进程操作
示例:suspend-process --pid 123 --comment "挂起可疑进程"
get-file编辑
从主机检索文件。文件以受密码保护的 .zip 存档形式下载,以防止文件运行。使用密码 elastic 在安全环境中打开 .zip。
您必须包含以下参数以指定文件在主机上的位置
-
--path: 文件的完整路径(包括文件名)。
所需权限:文件操作
示例:get-file --path "/full/path/to/file.txt" --comment "可能的恶意软件"
您可以使用 Osquery 管理器集成 查询主机的操作系统并深入了解其文件和目录,然后使用 get-file 检索特定文件。
当 Elastic Defend 由于 恶意软件防护 阻止文件活动时,该文件将在主机上被隔离,并会创建恶意软件防护警报。要使用 get-file 检索此文件,请从警报的 隔离文件路径 字段 (file.Ext.quarantine_path) 中复制路径,该字段显示在警报详细信息弹出窗口的 突出显示的字段 中。然后将该值粘贴到 --path 参数中。
execute编辑
在主机上运行 shell 命令。命令的输出和任何错误都将显示在响应控制台中,最多 2000 个字符。完整的输出(stdout 和 stderr)也将保存到可下载的 .zip 存档中(密码:elastic)。使用这些参数
-
--command: (必需)要在主机上运行的 shell 命令。该命令必须受 Linux 和 macOS 主机的bash和 Windows 主机的cmd.exe支持。- 值中的多个连续破折号必须转义;单个破折号无需转义。例如,要表示名为
/opt/directory--name的目录,请使用以下内容:/opt/directory\-\-name。 - 您可以在不转义的情况下使用引号。例如
execute --command "cd "C:\Program Files\directory""
- 值中的多个连续破折号必须转义;单个破折号无需转义。例如,要表示名为
-
--timeout: (可选)主机应等待命令完成的时间。使用h表示小时,m表示分钟,s表示秒(例如,2s表示两秒)。如果未指定超时时间,则默认为四个小时。
所需权限:执行操作
示例:execute --command "ls -al" --timeout 2s --comment "获取所有文件的列表"
此响应操作使用运行 Elastic Defend 集成的相同用户帐户在主机上运行命令,该用户帐户通常对系统具有完全控制权。请谨慎使用可能导致不可逆转更改的任何命令。
upload编辑
将文件上传到主机。该文件将保存到安装 Elastic Endpoint 的主机上的位置。运行命令后,将返回控制台中的完整路径以供参考。使用这些参数
-
--file: (必需)要发送到主机的文件。键入此参数后,将出现一个弹出窗口 - 选择它以导航到文件,或将文件拖放到弹出窗口中。 -
--overwrite: (可选)如果主机上已存在该文件,则覆盖它。
所需权限:文件操作
示例:upload --file --comment "上传修复脚本"
您可以用 execute 响应操作来上传和运行用于缓解或其他目的的脚本。
默认文件大小最大值为 25 MB,可以在 kibana.yml 中使用 maxUploadResponseActionFileBytes 设置进行配置。您必须以字节为单位输入值(最大值为 104857600 字节,或 100 MB)。
支持的命令和参数编辑
--comment编辑
添加到命令中,以包含解释或描述操作的注释。注释包含在响应操作历史记录中。
--help编辑
添加到命令中,以获取该命令的帮助信息。
示例:isolate --help
clear编辑
清除响应控制台中的所有输出。
help编辑
在控制台输出区域中列出支持的命令。
您也可以在 帮助面板 中获取命令列表,该面板将独立于输出区域显示在屏幕上。
帮助面板编辑
点击右上角的 
帮助 打开 帮助 面板,其中列出了可用的响应操作命令和参数作为参考。
此面板仅显示用户有权执行的响应操作。
您可以使用此面板以更少的输入构建命令。点击添加图标 (
) 将命令添加到输入区域,输入任何其他参数或注释,然后按 回车键 运行命令。
如果端点运行的是旧版本的 Elastic Agent,则可能不支持某些响应操作,这将由信息图标和工具提示指示。 升级 Elastic Agent 在端点上以使用最新的响应操作。
响应操作历史记录编辑
点击 响应操作历史记录 以显示在端点上执行的响应操作日志,例如隔离主机或终止进程。您可以过滤此视图中显示的信息。有关更多详细信息,请参阅 响应操作历史记录。
