从调查指南运行 Osquery
编辑从调查指南运行 Osquery编辑
检测规则调查指南建议采取步骤来对潜在的安全问题进行分类、分析和响应。在构建自定义规则时,您还可以设置一个包含 Osquery 的调查指南。这允许您在分析规则生成的警报时从规则的调查指南中运行实时查询。
向调查指南添加实时查询编辑
您只能将 Osquery 添加到自定义规则的调查指南,因为预制规则无法编辑。
- 转到 规则 → 检测规则 (SIEM),选择一条规则,然后单击规则详细信息页面上的 编辑规则设置。
- 选择 关于 选项卡,然后展开规则的高级设置。
-
向下滚动到调查指南部分。在工具栏中,单击 Osquery 按钮 (
).- 为查询添加一个描述性标签;例如,
搜索可执行文件。 -
选择一个已保存的查询或输入一个新的查询。
使用 占位符字段 将现有的警报数据动态添加到您的查询中。
-
展开 高级 部分以设置查询的超时时间,并查看或设置 映射的 ECS 字段(可选)。
覆盖查询的默认超时时间允许您支持运行时间更长的查询。超时 字段的默认值和最小支持值为
60。最大支持值为900。
- 为查询添加一个描述性标签;例如,
- 单击 保存更改 将查询添加到规则的调查指南。
从调查指南运行实时查询编辑
- 转到 规则 → 检测规则 (SIEM),然后选择一条规则以打开其详细信息。
- 转到规则详细信息页面的关于部分,然后单击 调查指南。
-
单击查询。将显示运行 Osquery 窗格,其中 查询 字段自动填充。执行以下操作
- 选择一个或多个要查询的 Elastic Agent 或组。在搜索字段中开始键入以获取 Elastic Agent 按名称、ID、平台和策略的建议。
-
展开 高级 部分以设置查询的超时时间,并查看或设置 映射的 ECS 字段(可选)。
覆盖查询的默认超时时间允许您支持运行时间更长的查询。超时 字段的默认值和最小支持值为
60。最大支持值为900。
-
单击 提交 运行查询。查询结果将显示在浮出窗口中。
有关查询结果的更多信息,请参考 检查 Osquery 结果。
-
单击 保存以备后用 保存查询以供将来使用(可选)。
