从告警运行 Osquery
Elastic Stack 无服务器安全
在与告警关联的主机上运行实时查询,以了解有关您的基础设施和操作系统的更多信息。例如,使用 Osquery,您可以搜索系统是否存在可能导致告警的入侵指标。然后,您可以使用此数据来通知您的调查和告警分类工作。
要求
- 必须安装Osquery 管理器集成。
- Elastic Agent 的 状态必须为
Healthy。如果不是,请参阅Fleet 问题排查。 - 您的角色必须在 Elastic Stack 中具有适当的功能权限,或者在无服务器中具有用户角色。
从告警运行 Osquery
从“告警”表中执行以下操作之一
- 单击 查看详情 按钮以打开“告警详情”浮出控件,然后单击 采取行动 → 运行 Osquery。
- 选择 更多操作 菜单 (…),然后选择 运行 Osquery。
选择运行单个查询或查询包。
选择一个或多个 Elastic Agent 或组以进行查询。开始在搜索字段中键入内容,以按名称、ID、平台和策略获取 Elastic Agent 的建议。
注意与告警关联的主机将自动选择。您可以指定其他要查询的主机。
指定要运行的查询或包
查询:选择已保存的查询,或在文本框中输入一个新查询。输入查询后,您可以展开 高级 部分以设置查询的超时期限,并查看或设置实时查询结果中包含的 映射的 ECS 字段(可选)。
注意覆盖查询的默认超时期限允许您支持运行时间更长的查询。超时字段的默认值和最小支持值为
60。最大支持值为86400(24 小时)。提示使用占位符字段,以将现有告警数据动态添加到您的查询。
包:从可用的查询包中选择。选择一个包后,将显示该包中的所有查询。
提示请参阅预构建包,以了解有关使用和管理 Elastic 预构建包的信息。
单击 提交。查询结果将显示在浮出控件中。
注意请参阅检查 Osquery 结果,以获取有关查询结果的更多信息。
单击 保存以供以后使用 以保存查询以供将来使用(可选)。