Osquery
编辑Osquery
编辑Osquery 是一款开源工具,允许您使用 SQL 像查询数据库一样查询操作系统。当您将 Osquery 管理器集成 添加到 Elastic Agent 策略时,Osquery 将部署到分配给该策略的所有代理。完成此设置后,您可以 运行实时查询和计划定期查询 以获取代理数据并开始收集整个环境的数据。
Osquery 支持 Linux、macOS 和 Windows。您可以将其与 Elastic Security 结合使用,执行实时事件响应、威胁狩猎和监控,以检测漏洞或合规性问题。Elastic Security 提供以下 Osquery 功能
- Osquery 响应操作 - 使用 Osquery 响应操作将实时查询添加到自定义查询规则。
- 调查指南中的实时查询 - 将实时查询整合到调查指南中,以增强您在调查潜在安全问题时的研究能力。
- 警报中的实时查询 - 对警报的主机运行实时查询,以了解有关您的基础设施和操作系统的更多信息。