Consulta de evento do ElasticsearchAtividade de atividade
A atividade de fluxo de trabalho Elasticsearch Event Query pesquisa os logs de eventos do Elasticsearch em busca de indicadores maliciosos.
A atividade Elasticsearch Event QueryActivity pode ser usada com qualquer fluxo de trabalho para pesquisar os logs de eventos do Elasticsearch.
Resultados
Os resultados possíveis para esta atividade são:
| Resultado | Descrição |
|---|---|
| Êxito | Consulta bem-sucedida. |
| Falha | Ocorreu um erro ao tentar verificar a consulta. Mais informações de erro estão disponíveis no erro de saída da atividade. |
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| usuário | Nome de usuário do sistema Elasticsearch. |
| password | Senha para o sistema Elasticsearch. |
| observáveis | A lista de observáveis de Trusted Security Circles ou a tarefa de incidente de segurança a ser pesquisada. Retornado no formato JSON. |
| base_url | URL base da API de integração de terceiros. |
| link_base_URL | [Opcional] Link para uma instância do Kibana, quando disponível. |
| fonte | Origem da solicitação para executar o fluxo de trabalho. As entradas compatíveis são: Trusted Security Circles ou tarefa de incidente de segurança. |
| max_rows | Máximo de linhas a serem retornadas da consulta. O limite depende da integração de terceiros. |
| days_to_search | Dias para pesquisar a partir do dia atual para trás. O padrão é 7. |
| consulta | Sintaxe de pesquisa. $(observable) é o padrão. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| saída | Saída da consulta no formato JSON. |