为 Windows 端点配置自修复回滚
编辑为 Windows 端点配置自修复回滚编辑
当启用的防护功能生成防护警报时,Elastic Defend 的自修复功能会回滚 Windows 端点上的文件更改。在防护警报发出前五分钟内发生在主机上的文件更改将恢复到其先前状态(可能最多比警报早两个小时)。
这有助于遏制恶意活动的影响,因为 Elastic Defend 不仅可以阻止活动,还可以清除在检测之前部署的任何攻击痕迹。
自修复回滚是 白金或企业订阅 功能,并且仅在 Windows 端点上受支持。
此功能可能会导致永久性数据丢失,因为它会覆盖最近的更改并删除主机上最近添加的文件。自修复回滚针对与检测到的威胁相关的更改,但也可能包括与威胁没有直接关系的意外操作。
此外,回滚是由_每个_ Elastic Defend 防护警报触发的,因此您应该在启用此功能之前调整系统以消除误报。
- 在 Elastic Security 应用程序中,转到 管理 → 策略,然后选择要配置的集成策略。
- 向下滚动到策略底部,然后单击 显示高级设置。
- 为设置
windows.advanced.alerts.rollback.self_healing.enabled输入true。 - 单击 保存。