添加 Osquery 响应操作
Elastic Stack 无服务器安全
此功能处于技术预览阶段,可能会在以后的版本中更改或删除。 Elastic 将努力解决任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。
Osquery 响应操作允许您将实时查询添加到自定义查询规则,以便您可以自动收集规则正在监视的系统上的数据。 使用此数据来支持您的警报分类和调查工作。
- 确保您拥有相应的 Elastic Stack 订阅或无服务器项目层级。
- 必须安装 Osquery 管理器集成。
- Elastic Agent 的 状态必须为
Healthy。如果不是,请参阅 Fleet 问题排查。 - 您的角色必须具有 Osquery 功能权限。
- 您只能将 Osquery 响应操作添加到自定义查询规则。
您可以将 Osquery 响应操作添加到新的或现有的自定义查询规则。 每次执行规则时都会运行查询。
选择以下选项之一
新规则:当您处于 自定义查询规则 创建的最后一步时,转到“响应操作”部分,然后单击 Osquery 图标。
现有规则:编辑规则的设置,然后转到 操作 选项卡。 在选项卡中,单击“响应操作”部分下的 Osquery 图标。
注意如果规则的调查指南正在使用 Osquery 查询,系统会询问您是否要将该查询添加为 Osquery 响应操作。 单击 添加 以将调查指南的查询添加到规则的 Osquery 响应操作。
指定您是要设置单个实时查询还是一个包
查询:选择保存的查询或输入新查询。 输入查询后,您可以展开 高级 部分以设置查询的超时时间,并查看或设置实时查询结果中包含的 映射的 ECS 字段(可选)。
注意覆盖查询的默认超时时间允许您支持需要更长时间才能运行的查询。 超时 字段的默认和最小支持值为
60。 最大支持值为86400(24 小时)。提示您可以使用 占位符字段 将警报数据动态添加到您的查询。
包:从可用的查询包中选择。 选择包后,将显示该包中的所有查询。
提示请参阅 预构建包,以了解有关使用和管理 Elastic 预构建包的信息。
单击 Osquery 图标以添加更多实时查询(可选)。
单击 创建并启用规则 (对于新规则)或 保存更改 (对于现有规则)以完成添加查询。
如果要为 Osquery 响应操作选择其他查询或查询包,请编辑规则以更新响应操作。
如果您编辑了 Osquery 响应操作正在使用的已保存查询或查询包,则必须在相关的 Osquery 响应操作上重新选择已保存的查询或查询包。 查询更改不会自动应用于 Osquery 响应操作。
- 编辑规则的设置,然后转到 操作 选项卡。
- 修改您添加的 Osquery 响应操作的设置。
- 单击 保存更改。
当规则生成警报时,Osquery 会自动收集主机上的数据。 查询结果显示在警报详细信息弹出窗口左侧面板中的 响应 选项卡中。 响应结果 选项卡旁边的数字表示附加到规则的查询数量,以及规则运行的端点响应操作。
有关查询结果的更多信息,请参阅 检查 Osquery 结果。
