« 策略 事件过滤器 »
Elastic 文档 Elastic 安全解决方案 [8.14] 管理端点保护

受信任的应用程序

编辑

受信任的应用程序编辑

您可以添加 Windows、macOS 和 Linux 应用程序,这些应用程序应该被信任,例如其他防病毒或端点安全应用程序。受信任的应用程序旨在帮助缓解性能问题以及与安装在主机上的其他端点软件的兼容性问题。受信任的应用程序仅适用于运行 Elastic Defend 集成的主机。

要求

您必须具有 受信任的应用程序 权限 才能访问此功能。

受信任的应用程序会为 Elastic Defend 创建盲点,因为不再监控这些应用程序是否有威胁。攻击者利用这些盲点的一种方式是 DLL(动态链接库)旁加载,他们利用受信任供应商(例如防病毒软件)签署的进程来执行其恶意 DLL。此类活动似乎源于受信任应用程序的进程。

在某些情况下,受信任的应用程序仍然可能会生成警报,例如,如果应用程序的进程事件表明存在恶意行为。为了减少误报警报,请添加一个 端点警报异常,该异常可以阻止 Elastic Defend 生成警报。要将受信任的应用程序与其他端点工件进行比较,请参阅 优化 Elastic Defend

此外,受信任的应用程序仍然会生成进程事件,供 Elastic Stack 用于可视化和其他内部使用。要阻止将进程事件写入 Elasticsearch,请使用 事件过滤器 过滤掉您不想存储在 Elasticsearch 中的特定事件,但请注意,依赖这些进程事件的功能可能无法正常运行。

默认情况下,受信任的应用程序在运行 Elastic Defend 的所有主机上都是全局识别的。如果您有 白金版或企业版订阅,您还可以将受信任的应用程序分配给特定的 Elastic Defend 集成策略,使该应用程序仅被分配到该策略的主机信任。

添加受信任的应用程序

  1. 转到 管理受信任的应用程序.
  2. 单击 添加受信任的应用程序.

  3. 添加受信任的应用程序 侧边栏中填写以下字段

    • 命名您的受信任的应用程序: 输入受信任应用程序的名称。
    • 描述(可选): 输入受信任应用程序的描述。
    • 选择操作系统: 从下拉列表中选择相应的操作系统。

    • 字段: 选择一个字段来标识受信任的应用程序

      • 哈希: 应用程序可执行文件的 MD5、SHA-1 或 SHA-256 哈希值。
      • 路径: 应用程序可执行文件的完整文件路径。

      • 签名: (仅限 Windows)应用程序的数字签署者的名称。

        要查找应用程序的签署者名称,请转到 Kibana发现 并查询应用程序可执行文件的进程名称(例如,对于 McAfee 安全二进制文件,process.name : "mctray.exe")。然后,在结果中搜索 process.code_signature.subject_name 字段,该字段包含签署者的名称(例如,McAfee, Inc.)。

    • 运算符: 选择一个运算符来定义条件

      • : 必须完全等于 ;不支持通配符。此运算符是 哈希签名 字段类型所必需的。
      • 匹配: 可以包含 中的通配符,例如 C:\path\*\app.exe。此选项仅适用于 路径 字段类型。可用的通配符是 ?(匹配一个字符)和 *(匹配零个或多个字符)。

    • : 输入哈希值、文件路径或签署者名称。要添加其他值,请单击 .

      您每个受信任的应用程序只能添加一个字段类型值。例如,如果您尝试添加两个 路径 值,您将收到一条错误消息。此外,应用程序的哈希值必须有效才能将其添加为受信任的应用程序。此外,为了最大限度地减少 Elastic Security 应用程序中的可见性差距,请在条目中尽可能具体。例如,将 签名 信息与已知的 路径 相结合。

  4. 分配 部分中选择一个选项,将受信任的应用程序分配给特定的集成策略

    • 全局: 将受信任的应用程序分配给 Elastic Defend 的所有集成策略。

    • 每个策略(仅限白金版或企业版订阅): 将受信任的应用程序分配给一个或多个特定的 Elastic Defend 集成策略。选择您希望该应用程序被信任的每个策略。

      您也可以在不立即将策略分配给受信任的应用程序的情况下选择 每个策略 选项。例如,您可以在将这些配置付诸行动之前创建和查看您的受信任应用程序配置。

  5. 单击 添加受信任的应用程序。该应用程序将添加到 受信任的应用程序 列表中。

查看和管理受信任的应用程序编辑

受信任的应用程序 页面显示已添加到 Elastic Security 应用程序的所有受信任的应用程序。要细化列表,请使用搜索栏按名称、描述或字段值搜索。

trusted apps list

编辑受信任的应用程序编辑

您可以单独修改每个受信任的应用程序。使用白金版或企业版订阅,您还可以更改分配给受信任的应用程序的策略。

要编辑受信任的应用程序

  1. 单击要编辑的受信任应用程序上的操作菜单 (…​),然后选择 编辑受信任的应用程序.
  2. 根据需要修改详细信息。
  3. 单击 保存.

删除受信任的应用程序编辑

您可以删除受信任的应用程序,这将将其从所有 Elastic Defend 集成策略中完全删除。

要删除受信任的应用程序

  1. 单击要删除的受信任应用程序上的操作菜单 (…​),然后选择 删除受信任的应用程序.
  2. 在打开的对话框中,确认您要删除的是正确的应用程序,然后单击 删除。将显示一条确认消息。
« 策略 事件过滤器 »