Osquery
编辑Osquery
编辑Osquery 是一个开源工具,允许你使用 SQL 像查询数据库一样查询操作系统。当你将 Osquery 管理器集成添加到 Elastic Agent 策略时,Osquery 将被部署到分配给该策略的所有代理。完成此设置后,你可以为代理运行实时查询和安排重复查询,并开始从你的整个环境中收集数据。
Osquery 支持 Linux、macOS 和 Windows。你可以将其与 Elastic Security 结合使用,执行实时事件响应、威胁狩猎和监控,以检测漏洞或合规性问题。以下 Osquery 功能可从 Elastic Security 中获得
- Osquery 响应操作 - 使用 Osquery 响应操作将实时查询添加到自定义查询规则。
- 从调查指南运行实时查询 - 将实时查询合并到调查指南中,以增强你在调查可能的安全问题时的研究能力。
- 从警报运行实时查询 - 针对警报的主机运行实时查询,以了解有关你的基础架构和操作系统的更多信息。