从调查指南运行 Osquery
编辑从调查指南运行 Osquery
编辑检测规则调查指南建议了对潜在安全问题进行分类、分析和响应的步骤。构建自定义规则时,您还可以设置包含 Osquery 的调查指南。这允许您在分析规则生成的告警时,从规则的调查指南运行实时查询。
向调查指南添加实时查询
编辑您只能向自定义规则的调查指南添加 Osquery,因为无法编辑预构建规则。
- 转到规则页面。要访问它,请在主菜单中查找检测规则 (SIEM),或使用全局搜索字段。
- 选择一条规则以打开其详细信息,然后单击编辑规则设置。
- 选择关于选项卡,然后展开规则的高级设置。
-
向下滚动到“调查指南”部分。在工具栏中,单击Osquery按钮(
)。- 为查询添加描述性标签;例如,
搜索可执行文件。 -
选择已保存的查询或输入新的查询。
使用占位符字段动态地将现有告警数据添加到您的查询中。
-
展开高级部分以设置查询的超时时间,并查看或设置映射的 ECS 字段(包含在实时查询的结果中,可选)。
覆盖查询的默认超时时间允许您支持运行时间较长的查询。超时字段的默认值和最小支持值为
60。最大支持值为900。
- 为查询添加描述性标签;例如,
- 单击保存更改将查询添加到规则的调查指南。
从调查指南运行实时查询
编辑- 转到规则页面。要访问它,请在主菜单中查找检测规则 (SIEM),或使用全局搜索字段。
- 选择一条规则以打开其详细信息。
- 转到规则 → 检测规则 (SIEM),然后选择一条规则以打开其详细信息。
- 转到规则详细信息页面的“关于”部分,然后单击调查指南。
-
单击查询。“运行 Osquery”窗格将显示,其中查询字段已自动填充。执行以下操作:
- 选择一个或多个 Elastic Agent 或组进行查询。在搜索字段中开始输入以获取按名称、ID、平台和策略建议的 Elastic Agent。
-
展开高级部分以设置查询的超时时间,并查看或设置映射的 ECS 字段(包含在实时查询的结果中,可选)。
覆盖查询的默认超时时间允许您支持运行时间较长的查询。超时字段的默认值和最小支持值为
60。最大支持值为900。
-
单击提交运行查询。查询结果将显示在浮出层中。
有关查询结果的更多信息,请参考检查 Osquery 结果。
-
单击保存以供日后使用以保存查询以备将来使用(可选)。
