添加 Osquery 响应操作
编辑添加 Osquery 响应操作编辑
此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 会努力解决任何问题,但技术预览中的功能不受官方 GA 功能支持 SLA 的约束。
Osquery 响应操作允许您将实时查询添加到自定义查询规则中,以便您可以自动收集规则正在监控的系统上的数据。使用此数据来支持您的警报分类和调查工作。
将 Osquery 响应操作添加到规则中编辑
您可以将 Osquery 响应操作添加到新的或现有的自定义查询规则中。查询在规则每次执行时运行。
-
选择以下选项之一
- 新规则: 当您处于 自定义查询规则 创建的最后一步时,转到“响应操作”部分,然后单击 Osquery 图标。
-
现有规则: 编辑规则的设置,然后转到 操作 选项卡。在选项卡中,在“响应操作”部分下单击 Osquery 图标。
如果规则的调查指南使用 Osquery 查询,您将被询问是否要将查询添加为 Osquery 响应操作。单击 添加 将调查指南的查询添加到规则的 Osquery 响应操作中。
-
指定您是要设置单个实时查询还是一个包
-
查询: 选择一个已保存的查询或输入一个新查询。输入查询后,您可以展开 高级 部分以设置查询的超时时间,并查看或设置 映射的 ECS 字段(可选),这些字段包含在实时查询的结果中。
覆盖查询的默认超时时间允许您支持运行时间更长的查询。超时 字段的默认值和最小支持值为
60。最大支持值为900。您可以使用 占位符字段 将警报数据动态添加到您的查询中。
-
包: 从可用的查询包中选择。选择一个包后,该包中的所有查询都会显示出来。
参考 预构建包 了解如何使用和管理 Elastic 预构建包。
-
- 单击 Osquery 图标以添加更多实时查询(可选)。
- 单击 创建并启用规则(对于新规则)或 保存更改(对于现有规则)以完成添加查询。
编辑 Osquery 响应操作编辑
如果您要选择 Osquery 响应操作要使用的其他查询或查询包,请编辑规则以更新响应操作。
如果您编辑了 Osquery 响应操作正在使用的已保存查询或查询包,则必须在相关的 Osquery 响应操作中重新选择已保存的查询或查询包。查询更改不会自动应用于 Osquery 响应操作。
- 编辑规则的设置,然后转到 操作 选项卡。
- 修改已添加的 Osquery 响应操作的设置。
- 单击 保存更改。
查找查询结果编辑
当规则生成警报时,Osquery 会自动收集主机上的数据。查询结果将显示在警报详细信息弹出窗口的左侧面板中的 响应 选项卡中。响应结果 选项卡旁边的数字表示附加到规则的查询数量,以及规则运行的端点响应操作。
参考 检查 Osquery 结果 了解有关查询结果的更多信息。
