从调查指南运行 Osquery
Elastic Stack 无服务器安全
检测规则调查指南建议了对潜在安全问题进行分类、分析和响应的步骤。 构建自定义规则时,还可以设置包含 Osquery 的调查指南。 这使您能够在分析规则生成的警报时,从规则的调查指南运行实时查询。
- 必须安装 Osquery 管理器集成。
- Elastic Agent 的状态必须为
Healthy。 如果不是,请参阅 Fleet 问题排查。 - 在 Elastic Stack 中,您的角色必须具有 Osquery 功能权限。
- 在无服务器环境中,您必须具有适当的用户角色才能使用此功能。
您只能将 Osquery 添加到自定义规则的调查指南,因为无法编辑预构建规则。
转到 规则 页面。 要访问它,请在主菜单中或使用 全局搜索字段 查找 检测规则 (SIEM)。
选择一个规则以打开其详细信息,然后单击 编辑规则设置。
选择 关于 选项卡,然后展开规则的高级设置。
向下滚动到调查指南部分。 在工具栏中,单击 Osquery 按钮 (
)。为查询添加描述性标签; 例如,
搜索可执行文件。选择已保存的查询或输入新查询。
提示使用占位符字段 以动态地将现有警报数据添加到您的查询。
展开 高级 部分以设置查询的超时时间,并查看或设置实时查询结果中包含的 映射的 ECS 字段 (可选)。
注意覆盖查询的默认超时时间可让您支持运行时间较长的查询。 超时 字段的默认值和最小支持值为
60。 最大支持值为86400(24 小时)。
单击 保存更改 以将查询添加到规则的调查指南。
转到 规则 页面。 要访问它,请在主菜单中或使用 全局搜索字段 查找 检测规则 (SIEM)。
选择一个规则以打开其详细信息。
转到 规则 → 检测规则 (SIEM),然后选择一个规则以打开其详细信息。
转到规则详细信息页面的“关于”部分,然后单击 调查指南。
单击查询。“运行 Osquery”窗格将显示,并自动填充 查询 字段。 执行以下操作:
选择一个或多个 Elastic Agent 或组以进行查询。 在搜索字段中开始键入,以按名称、ID、平台和策略获取 Elastic Agent 的建议。
展开 高级 部分以设置查询的超时时间,并查看或设置实时查询结果中包含的 映射的 ECS 字段 (可选)。
注意覆盖查询的默认超时时间可让您支持运行时间较长的查询。 超时 字段的默认值和最小支持值为
60。 最大支持值为86400(24 小时)。
单击 提交 以运行查询。 查询结果显示在弹出框中。
注意有关查询结果的更多信息,请参阅 检查 Osquery 结果。
单击 稍后保存 以保存查询以供将来使用 (可选)。
