Osquery
编辑Osquery编辑
Osquery 是一款开源工具,允许您使用 SQL 查询操作系统,如同查询数据库一样。当您将 Osquery 管理器集成 添加到 Elastic Agent 策略时,Osquery 会部署到分配到该策略的所有代理。完成此设置后,您可以 运行实时查询和计划定期查询,以获取来自整个环境的代理数据。
Osquery 支持 Linux、macOS 和 Windows。您可以将其与 Elastic Security 结合使用,进行实时事件响应、威胁狩猎和监控,以检测漏洞或合规性问题。以下 Osquery 功能可在 Elastic Security 中使用:
- Osquery 响应操作 - 使用 Osquery 响应操作将实时查询添加到自定义查询规则。
- 从调查指南运行实时查询 - 将实时查询整合到调查指南中,以增强您在调查潜在安全问题时的研究能力。
- 从警报运行实时查询 - 对警报主机运行实时查询,以了解有关您的基础设施和操作系统的更多信息。