从调查指南运行 Osquery
编辑从调查指南运行 Osquery
编辑检测规则调查指南为分类、分析和响应潜在安全问题提供了步骤建议。当您构建自定义规则时,您还可以设置包含 Osquery 的调查指南。这使您可以在分析规则产生的告警时,从规则的调查指南运行实时查询。
向调查指南添加实时查询
编辑您只能为自定义规则的调查指南添加 Osquery,因为无法编辑预构建规则。
- 转到规则页面。要访问它,请在主菜单中查找检测规则 (SIEM),或使用全局搜索字段。
- 选择一个规则以打开其详细信息,然后单击编辑规则设置。
- 选择关于选项卡,然后展开规则的高级设置。
-
向下滚动到“调查指南”部分。在工具栏中,单击Osquery按钮(
)。- 为查询添加描述性标签;例如,
搜索可执行文件。 -
选择一个已保存的查询或输入一个新查询。
使用占位符字段,以动态地将现有的告警数据添加到您的查询中。
-
展开高级部分以设置查询的超时时间,并查看或设置实时查询结果中包含的映射的 ECS 字段(可选)。
覆盖查询的默认超时时间允许您支持需要更长时间运行的查询。超时字段的默认值和支持的最小值是
60。支持的最大值是900。
- 为查询添加描述性标签;例如,
- 单击保存更改以将查询添加到规则的调查指南。
从调查指南运行实时查询
编辑- 转到规则页面。要访问它,请在主菜单中查找检测规则 (SIEM),或使用全局搜索字段。
- 选择一个规则以打开其详细信息。
- 转到规则 → 检测规则 (SIEM),然后选择一个规则以打开其详细信息。
- 转到规则详细信息页面的“关于”部分,然后单击调查指南。
-
单击查询。“运行 Osquery”窗格将显示,并自动填充查询字段。请执行以下操作:
- 选择一个或多个 Elastic Agent 或组进行查询。在搜索字段中开始键入内容,以获取按名称、ID、平台和策略划分的 Elastic Agent 的建议。
-
展开高级部分以设置查询的超时时间,并查看或设置实时查询结果中包含的映射的 ECS 字段(可选)。
覆盖查询的默认超时时间允许您支持需要更长时间运行的查询。超时字段的默认值和支持的最小值是
60。支持的最大值是900。
-
单击提交以运行查询。查询结果将显示在弹出窗口中。
有关查询结果的更多信息,请参阅检查 Osquery 结果。
-
单击稍后保存以保存查询以供将来使用(可选)。
