Elasticsearch Event QueryActivity-Aktivität
Die Workflow-Aktivität Elasticsearch Event Query durchsucht die Elasticsearch-Ereignisprotokolle nach schädlichen Indikatoren.
Die Elasticsearch Event QueryActivity- Aktivität kann mit jedem Workflow zum Durchsuchen der Elasticsearch-Event-Protokolle verwendet werden.
Ergebnisse
Mögliche Ergebnisse für diese Aktivität sind:
| Ergebnis | Beschreibung |
|---|---|
| Erfolg | Abfrage erfolgreich. |
| Fehler | Beim Versuch, die Abfrage zu überprüfen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Aktivitätsausgabefehler verfügbar. |
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Anwender | Benutzername für das Elasticsearch-System. |
| Kennwort | Passwort für das Elasticsearch-System. |
| Erkennbare Elemente | Die Liste der erkennbaren Elemente aus Vertrauenswürdige Sicherheitskreise oder die Security Incident-Aufgabe, nach der gesucht werden soll. Wird im JSON-Format zurückgegeben. |
| base_url | Basis-URL der Drittpartei-Integrations-API. |
| link_base_url | [Optional] Link zu einer Kibana-Instanz, falls verfügbar. |
| Quelle | Quelle der Anforderung zum Ausführen des Workflows. Unterstützte Eingaben sind: Vertrauenswürdige Sicherheitskreise oder Security Incident-Aufgabe. |
| max_rows | Maximale Anzahl von Zeilen, die von der Abfrage zurückgegeben werden sollen. Der Grenzwert hängt von der Drittanbieterintegration ab. |
| days_to_search | Tage, die ab dem aktuellen Tag rückwärts durchsucht werden sollen. Der Standardwert ist 7. |
| query | Suchsyntax. $(observable) ist der Standardwert. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ausgabe | Ausgabe der Abfrage im JSON-Format. |