Elasticsearch Event QueryActivity-Aktivität
Die Workflow-Aktivität „ Elasticsearch Event Query “ durchsucht die Elasticsearch-Ereignisprotokolle nach schädlichen Indikatoren.
Die Aktivität Elasticsearch Event QueryActivity kann mit jedem Workflow verwendet werden, um die Elasticsearch-Ereignisprotokolle zu durchsuchen.
Ergebnisse
Mögliche Ergebnisse für diese Aktivität sind:
| Ergebnis | Beschreibung |
|---|---|
| Erfolg | Abfrage erfolgreich. |
| Fehler | Beim Versuch, die Abfrage zu überprüfen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Aktivitätsausgabefehler verfügbar. |
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Anwender | Anwendername für das Elasticsearch-System. |
| Kennwort | Passwort für das Elasticsearch-System. |
| Erkennbare Elemente | Die Liste der erkennbaren Elemente aus Vertrauenswürdige Sicherheitskreise oder die Security Incident-Aufgabe, nach der gesucht werden soll. Wird im JSON-Format zurückgegeben. |
| base_url | Basis-URL der API der Drittpartei-Integration. |
| link_base_url | [Optional] Link zu einer Kibana-Instanz, falls verfügbar. |
| Quelle | Quelle der Anforderung zum Ausführen des Workflows. Folgende Eingaben werden unterstützt: Vertrauenswürdige Sicherheitskreise oder Security Incident-Aufgabe. |
| max_rows | Maximale Anzahl von Zeilen, die von der Abfrage zurückgegeben werden sollen. Der Grenzwert hängt von der Drittparteiintegration ab. |
| days_to_search | Tage, für die ab dem aktuellen Tag rückwärts gesucht werden soll. Der Standardwert ist 7. |
| query | Suchsyntax. $(observable) ist der Standardwert. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ausgabe | Ausgabe der Abfrage im JSON-Format. |