配置 Windows 端点的自愈回滚
编辑配置 Windows 端点的自愈回滚
编辑当启用的保护功能生成阻止警报时,Elastic Defend 的自愈功能会回滚 Windows 端点上的文件更改。在阻止警报发生前五分钟内在主机上发生的文件更改将恢复到之前的状态(可能是在警报发生前最多两个小时)。
这有助于控制恶意活动的影响,因为 Elastic Defend 不仅会阻止活动,还会擦除检测之前部署的任何攻击工件。
自愈回滚是一项 Platinum 或 Enterprise 订阅 功能,仅支持 Windows 端点。
此功能可能会导致永久性数据丢失,因为它会覆盖最近的更改并删除主机上最近添加的文件。自愈回滚的目标是与检测到的威胁相关的更改,但也可能包括与威胁没有直接关系的偶然操作。
此外,回滚是由每个 Elastic Defend 阻止警报触发的,因此在启用此功能之前,您应该调整系统以消除误报。
- 在导航菜单中查找策略,或者使用全局搜索字段,然后选择您要配置的集成策略。
- 滚动到策略的底部,然后单击显示高级设置。
- 为设置
windows.advanced.alerts.rollback.self_healing.enabled输入true。 - 单击保存。