« OSQuery 集成 Palo Alto »
Elastic 文档 Elastic 集成 Osquery

Osquery 管理器集成

编辑

Osquery 管理器集成

编辑

版本

1.15.0 (查看全部)

兼容的 Kibana 版本

8.16.0 或更高版本

支持的 Serverless 项目类型
这是什么?

安全

订阅级别
这是什么?

基础

支持级别
这是什么?

Elastic

通过此集成,您可以集中管理 Osquery 部署到 Fleet 中的 Elastic Agent,并通过分布式 SQL 查询主机数据。

此集成在 Kibana 中添加了 Osquery UI,您可以在其中:

  • 为一个或多个 Agent 运行实时查询
  • 查看过去的查询及其结果的历史记录
  • 计划查询以捕获操作系统状态随时间的变化
  • 保存查询并为特定用例构建查询库

Osquery 结果存储在 Elasticsearch 中,因此您可以使用该堆栈的强大功能来搜索、分析和可视化 Osquery 数据。

文档

编辑

有关使用 Osquery 的信息,请参阅 Osquery Kibana 文档。 其中包括有关所需权限的信息; 如何运行、计划和保存查询; 如何将 osquery 字段映射到 ECS;以及有关使用此集成管理 Osquery 的其他有用信息。

导出的字段

编辑

有关可以在 osquery 结果中返回的字段的完整列表,请参阅 Kibana 文档中的 导出的字段参考

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.15.0

增强功能 (查看拉取请求)
添加 ECS 电子邮件字段的映射

8.16.0 或更高版本

1.14.0

增强功能 (查看拉取请求)
更新 osquery 5.13.1 的架构

8.16.0 或更高版本

1.13.0

增强功能 (查看拉取请求)
更新 osquery 5.12.1 的架构

8.16.0 或更高版本

1.12.0

增强功能 (查看拉取请求)
添加操作响应数据流

8.15.0 或更高版本

1.11.0

增强功能 (查看拉取请求)
更新 osquery 5.10.2 的架构

8.12.0 或更高版本

1.10.1

Bug 修复 (查看拉取请求)
修复组字段的映射

8.10.1 或更高版本

1.10.0

增强功能 (查看拉取请求)
为 serverless 升级 osquery_manager,获取 ECS 8.10.0

8.10.1 或更高版本

1.9.0

增强功能 (查看拉取请求)
更新 osquery 5.8.2 的架构

8.10.0 或更高版本

1.8.4

增强功能 (查看拉取请求)
将仪表板转换为 Lens

8.7.1 或更高版本

1.7.4

增强功能 (查看拉取请求)
修复 elf.sections 映射

8.7.0 或更高版本

1.7.3

增强功能 (查看拉取请求)
解决 user.id、user.group.id、group.id 的映射冲突

8.7.0 或更高版本

1.7.2

增强功能 (查看拉取请求)
修复映射冲突

8.7.0 或更高版本

1.7.1

增强功能 (查看拉取请求)
添加了类别和/或子类别。

8.7.0 或更高版本

1.7.0

增强功能 (查看拉取请求)
更新 osquery 5.7.0 的架构

8.7.0 或更高版本

1.6.0

增强功能 (查看拉取请求)
修复具有摄取管道的 8.6.0 的 osquery_manager data_stream 值

8.6.0 或更高版本

1.5.1

增强功能 (查看拉取请求)
将 kibana 约束更新为 ^8.6

8.6.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
更新 osquery 5.5.1 的架构

1.4.1

增强功能 (查看拉取请求)
添加预构建的与 DFIR 相关的保存查询

8.4.0 或更高版本

1.4.0

增强功能 (查看拉取请求)
更新 osquery 5.4.0 的架构

8.4.0 或更高版本

1.3.2

Bug 修复 (查看拉取请求)
修复字段映射冲突

增强功能 (查看拉取请求)
更新至 ECS v8.3.0

8.3.0 或更高版本

1.3.1

增强功能 (查看拉取请求)
更新预构建的保存查询对象

8.3.0 或更高版本

1.3.0

增强功能 (查看拉取请求)
添加预构建的保存查询

1.2.1

增强功能 (查看拉取请求)
更新自述文件以删除导出的字段

8.2.0 或更高版本

1.2.0

增强功能 (查看拉取请求)
添加包和仪表板

8.2.0 或更高版本

1.1.0

增强功能 (查看拉取请求)
升级架构和自述文件以匹配 osquery 5.2.2。

1.0.0

增强功能 (查看拉取请求)
GA

7.16.0 或更高版本
8.0.0 或更高版本

0.8.1

增强功能 (查看拉取请求)
为文本字段添加显式映射

0.8.0

增强功能 (查看拉取请求)
添加 8.0.0 版本约束

0.7.4

增强功能 (查看拉取请求)
使用 host_users、host_groups、host_processes 表更新字段和自述文件。

0.7.3

增强功能 (查看拉取请求)
更新团队所有者。

0.7.2

增强功能 (查看拉取请求)
更新描述。

0.7.1

增强功能 (查看拉取请求)
更新 ecs.yml 以包含所有 dateip ECS 1.12.0 字段类型。

0.7.0

增强功能 (查看拉取请求)
更新至 ECS 1.12.0

0.6.1

增强功能 (查看拉取请求)
升级架构和自述文件以匹配 osquery 5.0.1。

0.6.0

增强功能 (查看拉取请求)
更改包以更好地采用原生 osquery 配置。

0.5.3

增强功能 (查看拉取请求)
更新自述文件并添加指向 Kibana 文档的链接

0.5.2

增强功能 (查看拉取请求)
更新 host.ip 字段映射,将 keyword 数据类型更改为 ip 数据类型

0.5.1

增强功能 (查看拉取请求)
更新 osquery 4.9.0 的映射和自述文件

0.5.0

增强功能 (查看拉取请求)
更新集成描述

0.4.1

增强功能 (查看拉取请求)
根据最新的开发人员反馈更新 ECS 映射格式

0.4.0

增强功能 (查看拉取请求)
支持查询/流的 ECS 映射配置

0.3.2

增强功能 (查看拉取请求)
更新 Osquery Manager 自述文件以支持 7.14 版本

0.3.1

增强功能 (查看拉取请求)
更新 Osquery Manager 映射和自述文件以支持 osquery 4.8.0

0.3.0

增强功能 (查看拉取请求)
向流配置添加平台和版本字段

0.2.4

增强功能 (查看拉取请求)
更新模式字段描述和自述文件

0.2.3

增强 (查看拉取请求)
更新清单和 README

0.2.2

增强 (查看拉取请求)
更新文档

0.2.1

增强 (查看拉取请求)
更改为 Beta 版本

0.2.0

增强 (查看拉取请求)
显式映射

0.1.0

增强 (查看拉取请求)
初始版本

« OSQuery 集成 Palo Alto »