Elasticsearch 이벤트 QueryActivity 활동
Elasticsearch 이벤트 쿼리 워크플로우 활동은 Elasticsearch 이벤트 로그에서 악성 표시기를 검색합니다.
Elasticsearch 이벤트 QueryActivity 활동은 Elasticsearch 이벤트 로그를 검색하기 위해 모든 워크플로와 함께 사용할 수 있습니다.
결과
이 활동의 가능한 결과는 다음과 같습니다.
| 결과 | 설명 |
|---|---|
| 성공 | 쿼리가 성공했습니다. |
| 실패 | 쿼리를 확인하는 동안 오류가 발생했습니다. 자세한 오류 정보는 활동 출력 오류에서 확인할 수 있습니다. |
입력 변수
입력 변수는 활동의 초기 동작을 결정합니다.
| 변수 | 설명 |
|---|---|
| 사용자 | Elasticsearch 시스템의 사용자 이름입니다. |
| password | Elasticsearch 시스템의 암호입니다. |
| 옵저버블 | 검색할 보안 인시던트 작업 또는 Trusted Security Circles 의 옵저버블 목록입니다. JSON 형식으로 반환됩니다. |
| base_url | 외부 공급업체 통합 API의 기본 URL입니다. |
| link_base_url | [선택 사항] Kibana 인스턴스에 연결합니다(사용 가능한 경우). |
| source | 워크플로우를 실행하기 위한 요청의 소스입니다. 지원되는 입력은 또는 보안 인시던트 작업입니다 Trusted Security Circles . |
| max_rows | 쿼리에서 반환할 최대 행 수입니다. 한도는 외부 공급업체 통합에 따라 다릅니다. |
| days_to_search | 현재 날짜에서 거꾸로 검색할 날짜입니다. 기본값은 7입니다. |
| 쿼리 | 검색 구문. $(observable) 이 기본값입니다. |
출력 변수
출력 변수에는 후속 활동에 사용할 수 있는 데이터가 포함되어 있습니다.
| 변수 | 설명 |
|---|---|
| output | JSON 형식으로 된 쿼리의 출력입니다. |