[Elasticsearch イベントクエリ] アクティビティ
[Elasticsearch イベントクエリ] ワークフローアクティビティは、Elasticsearch イベントログを検索して、悪意のあるインジケーターを確認します。
[Elasticsearch イベントクエリ] アクティビティを任意のワークフローで使用して、Elasticsearch イベントログを検索できます。
結果
このアクティビティの考えられる結果は次のとおりです。
| 結果 | 説明 |
|---|---|
| 成功 | クエリに成功しました。 |
| 失敗 | クエリの検証中にエラーが発生しました。その他のエラー情報は、アクティビティ出力エラーで確認できます。 |
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| ユーザー | Elasticsearch システムのユーザー名。 |
| password | Elasticsearch システムのパスワード。 |
| 観測事象 | 検索対象の トラステッドセキュリティサークル またはセキュリティインシデントタスクからの観測事象のリスト。JSON 形式で返されます。 |
| base_url | サードパーティ統合 API のベース URL。 |
| link_base_url | [オプション] 利用可能な場合、Kibana インスタンスへのリンク。 |
| source | ワークフローを実行する要求のソース。サポートされている入力は トラステッドセキュリティサークル またはセキュリティインシデントタスクです。 |
| max_rows | クエリから返される最大行数。制限は、サードパーティ統合によって異なります。 |
| days_to_search | 現在の日から遡って検索する日数。デフォルトは 7 です。 |
| クエリ | 検索構文。$(observable) がデフォルトです。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| output | JSON 形式のクエリの出力。 |